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在 当今 这 个 快速 发 展 的 互联 网 时 代 ,信息 安全 问题 全 方位 地 影响 我 国 的 政治 ,军事 、 经 
济 文化 .社会 生活 的 各 个 方面 ,信息 安全 是 国家 优先 发 展 . 人 才 紧 缺 的 行业 ,受到 国家 自然 
科学 基金 .863、975 等 重要 研究 和 开发 计划 的 持续 关注 与 重点 资助 。 

信息 安全 本 科 专 业 作为 一 个 新 兴 专 业 , 自 2001 年 教育 部 批准 开设 已 逾 十 载 ,目前 已 
有 四 十 余 所 大 学 先后 获得 批准 开办 (或 备案 )。 不 同 的 学 校 可 能 有 着 不 同 的 专业 特色 与 
培养 定位 ,但 都 离 不 开 相 关 数 学 知识 的 支持 。 康 德 曾经 说 过 “在 任何 理论 中 只 有 其 中 包 
含 数学 的 部 分 才 是 真正 的 科学 ”, 纵 观 人 类 科学 发 展 史 , 任 何 转折 飞跃 或 者 开创 发 现 都 离 
不 开 强 有 力 的 数学 依据 做 坚实 的 后 盾 。 同 样 地 ,现代 密码 学 和 网 络 安全 也 离 不 开 初 等 数 
论 .抽象 代数 .椭圆 曲线 等 数学 学 科 作为 其 理论 基础 。 因 此 ,信息 安全 数学 基础 这 门 课 程 
在 信息 安全 人 才 培 养 中 占有 非常 重要 的 地 位 ,是 信息 安全 本 科 专 业 的 主要 专业 基础 
课程 。 

为 突出 学 习 重 点 ,降低 学 习 难 度 , 提 高 学 习 积极 性 ,增强 学 习 效 果 , 本 书 从 初等 数论 出 
发 ,由 浅 入 深 , 环 环 紧 扣 密码 学 中 的 知识 应 用 ; 然后 深入 学 习 抽 象 代数 ,紧密 结合 初等 数论 ， 
前 后 呼应 ,降低 学 习 难 度 , 提 高 理论 认识 。 不 仅 给 出 每 章 的 学 习 目 标 、 重 点 、 难 点 ,还 通过 [你 
应 该 知道 的 【请 你 注意 ] 【进一步 的 知识 3 栏目 分 别提 示 基 础 的 . 易 错 的 扩展 的 知识 点 , 通 
过 【不 妨 一 试 3 栏 目 鼓励 学 生 将 数学 理论 程序 化 ,通过 【思考 了 栏目 提出 挑战 ,鼓励 探索 ,使 教 
学 内 容 层 次 清晰 ,重点 明确 。 不 仅 在 每 章 通过 提出 问题 来 引出 知识 点 ,还 在 内 容 编排 中 尤其 
注意 知识 点 实例 化 和 关联 性 。 提 供 的 实例 包括 计算 过 程 和 程序 伪 码 ,强调 数学 过 程 的 程序 
化 ,使 学 生 对 于 数学 原理 和 数值 计算 有 进一步 理解 。 

基于 上 述 思路 ,本 书 可 分 为 3 个 部 分 ,共计 8 章 。 第 1 一 4 章 分 别 介 绍 整除 、 同 余 、 原 根 、 
素性 检验 等 初等 数论 内 容 , 第 5 一 7 章 介 绍 抽象 代数 中 的 群 . 环 \ 有 限 域 , 第 8 章 介 绍 椭圆 曲 
线 理论 。 建 议 总 学 时 数 为 64 学 时 ,授课 教师 可 依据 学 生 实际 情况 和 学 时 安排 适当 选择 教学 
内 容 。 

由 于 篇 幅 所 限 , 同 时 为 了 重点 突出 ,本 书 有 选择 性 地 略 去 了 部 分 定理 较为 繁杂 的 证 明 过 
程 ,学 有 余力 的 读者 可 以 自行 查阅 参考 书目 或 其 他 相关 资料 。 本 书 只 列 出 了 编写 过 程 中 的 
主要 参考 书目 ,很 多 资料 没 能 一 一 注 明 出 处 ,在 此 对 这 些 资料 的 作者 表示 由 衷 的 感谢 ,同时 
声明 原文 版 权 属 于 原作 者 。 


本 书 编写 团队 由 巫 玲 、 魏 其 、 武 从 海 组 成 ,在 编写 过 程 中 得 到 西南 科技 大 学 本 科教 材 建 
设 基金 资助 ,得 到 西南 科技 大 学 计算 机 学 院 信息 安全 系 教师 的 热情 帮助 ,在 此 向 他 们 表示 由 
衷 的 感谢 。 

尽管 作者 对 书稿 进行 了 多 次 的 修改 和 订正 ,但 由 于 时 间 仓促 以 及 水 平 有 限 6 P ho i 
与 不 妥 之 处 在 所 难免 ,希望 使 用 本 书 的 读者 提出 宝贵 意见 ,以 期 本 书 得 到 进一步 完善 。 
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【教学 目的 】 

掌握 整除 、 欧 几 里 得 除法 、 最 大 公约 数 、 整 数 唯一 分 解 、 素 数 等 基本 概念 ,能 够 利用 
欧 几 里 得 算法 求 最 大 公约 数 、 解 二 元 一 次 方程 。 

【教学 要 求 】 

(1) 识 记 : 整除 .最 大 公约 数 、 最 小 公 倍数 、 素 数 等 基本 概念 和 性 质 。 

(2) 领会 : 欧 几 里 得 除法 ,整数 的 表示 方法 ,整数 唯一 分 解 方法 。 

(3) 简单 应 用 : 欧 几 里 得 算法 和 扩展 欧 几 里 得 算法 的 程序 实现 。 

(4) 综合 应 用 : 二 元 一 次 方程 求解 的 程序 实现 等 。 

【学 习 重 点 与 难点 】 

本 章 重点 与 难点 是 欧 几 里 得 算法 和 扩展 欧 几 里 得 算法 的 算法 思想 与 程序 实现 ,二 
元 一 次 方程 求解 ,整数 唯一 分 解 定理 。 


在 正式 开始 本 章 学 习 之 前 ,请 思考 下 面 三 个 问题 。 

(1) 3 和 4 的 最 大 公约 数 是 1,4 和 6 的 最 大 公约 数 是 2, 那 么 65 539 和 4294967299 的 
最 大 公约 数 是 多 少 呢 ? 

(2) 12 可 以 分 解 成 3 乘 以 4, 进 一 步 分 解 成 2 乘 以 2 再 乘 以 3, 那 么 可 不 可 以 类 似 地 将 
16 843 009 分 解 成 素数 的 乘积 呢 ? 

(3) 2 是 素数 ,3 是 素数 ,4 是 合 数 ,5 是 素数 ,那么 4 294 967 297 是 素数 还 是 合 数 呢 ? 

上 面 的 问题 都 是 “ 老 瓶 装 新 酒 ”, 最 大 公约 数 、 整 数 分 解 .素数 / 合 数 都 是 我 们 在 小 学 时 候 
就 已 经 学 习 过 的 知识 ,但 当 需 要 处 理 大 整数 时 , 则 有 必要 进一步 学 习 。 


1.1 整除 


定义 1.1 整除 

设 a,b 为 整数 ,b 关 0。 车 有 一 整数 使 得 a 二 bg, 则 称 5b 整除 a 或 a 能 被 b 整除 , 记 为 bla， 
b 叫 作 a 的 因数 ,a 叫 作 4 的 倍数 。 

ЖЬ 不 能 整除 a Hb a. 

【请 你 注意 】 

(1) 整除 的 定义 是 从 乘法 定义 除法 的 ,通过 因子 的 存在 性 来 描述 整除 性 。 

(2) 注意 | 与 /的 区 别 : 4/2 一 2,214。 

定理 1.1 整除 的 性 质 Va,b€Z， 

(1)alb alb Sal—b al 一 5 &lalllbl; 

(2) alb 与 5|c=>alc; 

(3) а|Ь 5 bla™>a= +b; 


(4) alb Salc SYt,sEZ.al|tb+sc. 
【请 你 注意 】 
| 更 强调 是 一 种 数字 关系 的 表示 方法 ,而 不 是 一 种 运算 符号 ,因此 ,alib 十 sc 不 需要 强调 
EWS E a l| b+ so) , 同 理 ,ablc 不 必 写 作 (ab)1c。 
更 不 能 将 整除 的 推导 过 程 写 为 : 
因为 n= 二 2m， 
所 以 3|п=3|2т„ 
【思考 】 
| 作为 一 种 二 元 关系 ,具有 哪些 特性 ? 自 反 的 ? 反 自 反 的 ? 对 称 的 ? 反对 称 的 ? 传递 
它 是 一 种 等 价 关 系 吗 ? 
例 1.1 设 2EZ, 求 证 : #3ln4ln W 12|n。 
证 明 
因为 31n， 
所 以 可 设 n= 二 3m,m€E2; 
у 41, 
所 以 4l 3m; 
又 因为 4|4m， 
所 以 根据 定理 1.1(4) 有 4|4m 一 3m， 
所 以 4m; 
Вр п] 5 m=4q.qE Z; 
所 以 n=3X4Xq=12 g, 所 以 121n, 证 毕 。 
例 1.2 设 z,yEZ,17|2z 十 3y, 证 明 : 17|9zx 十 5y。 
证 明 : 因为 1712z 十 3y， 
所 以 17|26z 十 39y， 
所 以 17126z 十 39y 一 17z 一 34y， 
所 以 1719z 十 5y, 证 毕 。 
例 1.3 设 a,b 是 两 非 零 整数 ,3s,1€EZ, 使 得 sa 十 tb 二 1。 求证: 
(1) #ЖЯ тЄ7.т|а.т|\Ь.Й т= +1; 
(2) EB пЄ7.а|п.Ь\п.{ abln。 
证 明 : (1) 因为 mla,mlb， 
FELA Y stE ZKA m|sa+tb; 
因为 3 stEZ.sa+tb=1. 
АТД т|1, 
所 以 т = 1.16. 
(2) 因为 aln,bln， 
所 以 设 3k,g€E2Z, 使 n= 二 ag,n 二 bk; 
又 因为 3s,1EZ, 使 得 sa 十 ib 二 1， 
FELI n=n(sa+tb)=skXab+tqXab=ab (sk +14). 
所 以 abln, 证 毕 。 
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~ 
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11.4 Ур.чЄ7.# mEZ, H m HARRIE: рар" +g". 
证 明 : (1) Ч m=1 时 ,显然 成 立 ; 
(2) # m=2k—1,kEZ i, A рід р +ga”; 
(3) %4 m=2k+1 Hs 
В рар +a” ptal p gq 
所 以 ptglp™* д, 
所 以 Vp,q€EZ, 车 m HAR ptal p” +a" ,证 毕 。 
【你 应 该 知道 的 】 
A) Ур.чЄ7,Ж т HAR, palp” 4" 5 
(2) Ур.дЄ2. #7 т рд р" 9" RE. ptal р" +H RERE. 
定义 1.2 素数 
一 个 大 于 1 且 只 能 被 1 和 它 本 身 整 除 的 整数 , 称 为 素数 (或 质数 ,不 可 约 数 ); 否则 , 称 
为 合 数 。 
显然 , 正 整数 集合 可 分 为 三 类 : 素数 、 合 数 和 1; 素数 常用 p 来 表示 。 
【思考 】 
11++11,(—3 n A 1) 是 质数 还 是 合 数 ? 1001: CRE nÂ 0)0@7 
定理 1.2 欧 几 里 得 除法 (Euclid 除法 , 带 余 除法 ) 
Ya'pOEZ,0 天 0, 则 唯一 存在 两 个 整数 dg 和 7 ,使 得 式 (1-1) 成 立 : 
a=bq+r, 0<т<|ь| (1-1) 
推论 1.1 显然 , 若 a= 王 2d 十 ~, 则 bla г=0. 
【请 你 注意 】 
(1) 0 二 7 二 16| 的 7 被 称 为 最 小 非 负 余数 ,在 实际 运用 中 ,可 以 根据 需要 将 式 (1-1) 写 成 
其 他 形式 ,如 : a==bg 十 r,c<r 二 16b| 二 c,c€EZ。 
(2) 推论 1. 1 是 证 明 bla 的 一 个 常用 技巧 : 先 假设 4a 二 bg 十 7, 推 出 r= 二 0, 则 bla。 
定理 1.3 整数 的 表示 
给 定 正 整 数 5 三 2, 则 YnE€EZ,n 必 可 唯一 地 表示 为 : 
n= Djab (1-2) 
HP pksa; € Z, k>0,0 Ka; < 001) a, 0. 
称 式 (1-2) 为 整数 n 的 b 进 制 表示 。 
例如 ,十进制 : 123451 = 二 1X10 十 2X103 十 3X10? 十 4X10! 十 5X10°， 
十 六 进 制 : 123451 二 1X16! 十 2X16? 十 3X16? 十 4X16! 十 5X16°。 
【不 妨 一 试 】 进 制 转换 
请 编写 一 个 实现 整数 十 进 制 与 十 六 进 制 表示 的 转换 程序 。 


1.2 最 大 公 因 数 和 最 小 公 倍数 


定义 1.3 最 大 公 因 数 
а заа Hn 个 不 全 为 0 的 整数 ,如 果 整 数 4 是 其 中 每 个 数 的 因数 , 则 称 d 是 


3 


aiya an 的 公 因数 (公约 数 ) ,所 有 公 因 数 中 最 大 的 正 整数 称 为 最 大 公 因 数 (或 最 大 公约 
数 ) , 记 为 ged(al ,az ,…，,av) , 简 记 为 (al az， ,a,)。 

由 于 0 可 以 被 任何 整数 整除 ,因此 ,对 于 任意 整数 a,(a,0) 二 |a|。 

如 果 (a ,az ,…,a) 王 1, 则 称 wa ,as,… ,a, 互 素 ; 如 果 a ,as,，…,a, 中 任意 两 个 数 的 最 大 
公约 数 均 为 1, 则 称 它们 两 两 互 素 。 

注意 ,在 个 数 不 少 于 三 个 的 互 素 正 整数 中 ,不 一 定 是 每 两 个 正 整 数 都 是 互 素 的 。 例 如 : 
(6,10,15) =1,{8 (6,10) =2,(6,15) =3,(10,15) =5, 

定义 1.4 最 小 公 倍数 

а заа Ап 个 不 全 为 0 的 整数 ,如 果 整 数 т 是 其 中 每 个 数 的 倍数 , 则 称 mm 是 
aiq 和 van 的 公 倍 数 , 所 有 公 倍 数 中 最 小 的 正 整数 称 为 最 小 公 倍 数 , 记 为 lem(ai аг. 
а,) , 简 记 为 [ai ,az ，… ,a,]。 

定理 1.4 设 a,b,c€EZ， 

(1) (a,b)=(b,a)=(—a,b)=(a,—b)=(—a,—b), 

[a,b] =[b,a]=[—a,b]=[a,—b]=[—a,—b]; 

(2) # alb, а,Ь) = lal, [C а.Ь]= 161; 

(3) VrEZ,(a,b)=(a,ax+b); 

(4) YzyyEZ,(a:,b)|az 十 by。 

证 明 : (1)(2)(4) 略 。 

(3) 设 d=(a,b),D=(a,ax+b), W] 4|а.4\Ь, 

所 以 dlaz 十 6， 

所 以 d <D; 

同 理 Dla,Dlazr 十 0， 

所 以 Daz 十 0 一 az 一 0， 

所 以 р<а. 

所 以 d==DD, 证 毕 。 

例 1.5 Vm.nEZ, 求 证 (mn 一 1,mi) 二 1。 

证 明 : #Отп—1.т?%)=4. 
因为 dmn 一 1,d|m’， 

所 以 а т?пт? =пт?. 

АТ 4|\т?. 

所 以 同 理 可 得 dim 和 dad11. 所 以 d= 二 1, 即 (mn 一 1,m) 二 1, 证 毕 。 

推论 1.2 \Уа.ЬЄ7.# Ях.уЄ7.{#ах+Ьу=1,Ш(а,„Ь)=1„ 

【思考 】 

Ж а.ЬЄ7,.(а.0) 21.37% ах -рьу=1 有 整数 解 吗 ? 

【进一步 的 知识 

你 知道 如 何 计算 平面 上 一 条 线段 中 整数 点 的 个 数 吗 ? 如 果 知 道 一 个 线段 的 两 个 端点 为 
(oa ,0 和 (cyd)( 这 里 的 Ce,0) 表 示 直 角 坐 标 系 横 纵 坐标 分 别 为 c 和 0) ,你 知道 这 条 线段 上 有 
多 少 个 整数 点 吗 ? 即 坐 标 (z,y) 的 zx A y 都 是 整数 的 点 。 

为 了 简化 问题 ,假设 线段 两 个 端点 的 坐标 为 (0,0) 和 (zo ,yo),zo 和 yo 都 是 整数 , 则 线段 


的 斜率 & 一 yo/zo ,线段 的 方程 为 > 一 yo/zoXz, 即 yzo 一 并 yo。 


ухо хуо y Vos 2 
进一步 推 得 : gcd(Czoyyo) gcd(Czoyyo) т ТРУ) 20 ок E 


waf 2 一 定 在 线段 上 ,并 且 线 眉 上 所 有 整数 点 可 以 表示 为 
gcd(zoyyo) gcdCzoyyo) 


Ёхо kyo = sss А 
(= РУ, ау) ,一 0,1,2,……,gcd(Czoyyo)。 


因此 ,包括 端点 在 内 ,线段 的 整 点 个 数 为 gcd(zo,yo) 十 1 个 。 
定理 1.5 Үа,р,сЄ2, 

A) alec,ble S[a,b]lc; 

(2) cla,clb &c|Ca,b). 

证 明 : (1) <=; 因为 al[a,6b],b|l[a,6].[a,bJle, 所 以 alc,ble; 
=>; Ё L=[a,b],c=qL+r,0Sr<L, 

因为 alc,alL， 

所 以 alr， 

同 理 ,o|， 

FELA r H a b 的 公 倍数 ， 

HH r<L, 

所 以 > 一 0， 

所 以 Lle; 

所 以 alc,blc 对 [a,bjlc, 证 毕 。 

(2) <; cl(a,b), (a,b)la,(a,b)lb, 

所 以 cla,clb; 

>; 设 diJ a,b 的 全 体 公 约 数 ,1<i<n,L=[di,d;,…,d,]， 
所 以 由 (1) 得 Lla.Llb， 

ЯТІ 1,< (а,Ь). 

х Ж®!|а;1<1,.1<г<л. 

ЯТ Ca DDL. 

FELI L= (а,Ь); 

所 以 clasc|b ©с| (a,6) ,证 毕 。 

定理 1.5 表明 : 

公 倍 数 一 定 是 最 小 公 倍 数 的 倍数 ; 公约 数 一 定 是 最 大 公约 数 的 约 数 。 
推论 1.3 (a,b,c)=((a,b),c); [а›&.с]=[ [а,61.с]. 

例 1.6 设 a,bEZ,(a,b) 二 1, 请 计算 (a 十 b,a 一 b)。 

解 : У (а+Ь,а—6) =а, 

所 以 d| (а) + (а 6) Вр а | 2а. 

FIH d|2b, 

所 以 d| (2a,2b)=> dl2(a,6b)， 

因为 (a,0) 一 1， 


所 以 d12， 

所 以 (a 十 b,a 一 5b) 二 1 或 2。 

定理 1.6 Їа,Ь.сЄ7,а.Ь,с50.(а,с) = 1,0] 
(ab,c) = (b,c) 


证 明 : 因为 (co,c) 一 1， 

FELA (Б.с) = (bX (а.с) ,c)=(ba,bc,c)= (ba, (b,1)Xc)=(ab,c) ,证 毕 。 

推论 1.4 ita,b,cEZ,a,b,c#0,la,c)=1,cl|ab, W clb. 

推论 1.5 ia bEZ p 为 素数 ,plab, 则 pla 或 p15。 

定理 1.7 Va,b,c€EZ， 

(1) # c> 0,(a,6)=d,[ a,6]==m; 则 (ac,bc)=dec,[ ас.Ьс]=тс; 

(2) Æc > 0,la,b)=d,c|d, W Ca/c,b/)=d/c; 

(3) [ a,b]= labl/(a,b). 

定理 1.7(3) 给 出 了 最 大 公约 数 与 最 小 公 倍 数 之 间 的 关系 ,因此 ,通常 通过 求解 最 大 公 
约 数 计算 最 小 公 售 数 。 

根据 中 小 学 知识 ,计算 最 大 公约 数 是 通过 整数 分 解 来 实现 的 。 例 如 ,12 二 3X4,28 二 4X7， 
所 以 12 的 约 数 有 1、2、3、4、6、12,28 的 约 数 有 1、2、4、7、14、28, 因 此 12 和 28 的 公约 数 有 1、 
2、4,12 和 28 的 最 大 公约 数 为 4, 记 作 (12,28) 一 4。 

上 述 计算 对 于 大 整数 是 非常 烦琐 的 ,如 计算 93 991 和 102757, 因 为 93 991=193 X487, 
102 757 二 211 X487, 计 算 (93 991,102 757) 的 运算 量 是 比较 大 的 。 

1.3 节 将 介绍 使 用 欧 几 里 得 算法 计算 最 大 公约 数 的 方法 。 


1.3 欧 几 里 得 算法 


设 有 Ya,bEZV, 记 ro 一 a,m 一 0, 则 反复 运用 欧 几 里 得 除法 ,有 : 
т =гт Чу+т;,0<;<г‚| 


ту = т Фф тз ,0 «оу < г; 


fra = ға Фа 0 әт < тл 
т 一 ra Qu F Tati аы = O 
经 过 有 限 步骤 的 计算 ,必然 存在 zEZ, 使 得 一 + 一 0, 这 是 因为 
O S һы < т L rra Lee «т < ғ = 6 
根据 定理 1. 403), (нот) = (прото) е С, орар) (60) =, 
【你 应 该 知道 的 】 
(1) 欧 几 里 得 (Euclid) 算 法 又 称 为 驾 转 相 除法 ,在 ( 九 章 算 术 》 中 被 称 为 “更 相 减 损 数 ”。 
(2) 欧 几 里 得 算法 的 规则 可 以 归纳 为 : 反复 使 用 带 余 除法 (Euclid 除法 ) 求 最 大 公约 数 。 
(3) 在 实际 运用 中 ,可 以 根据 需要 在 每 一 步 带 余 除法 中 使 用 最 小 非 负 余数 、 绝 对 值 最 小 
余数 等 。 


т 


例 1.7 计算 (543,21) 。 


解 : 543 一 21X25 十 18， ; 543=21Х26—3, 
21 一 18 十 3， : 21=3X7+0。 
18=3X 6+0. : 


所 以 (543,21) 一 3。 
显然 ,采用 绝对 最 小 剩余 作为 余数 比 使 用 最 小 非 负 余数 的 欧 几 里 得 算法 的 计算 步骤 要 
少 一 些 。 
例 1.8 计算 (93 991,102 757) 。 
解 : 102 757 一 93 991 十 8766， 
93 991 一 8766X11 一 2435， 
8766 一 2435X4 一 974， 
2435 二 974X2 十 487， 
974=487X2+0. 
所 以 (93 991,102 757) =487. 
例 1.9 设 a= 一 1859,6 二 1573, 计 算 (a,b)。 
解 : 1859=1X 1573+286, 
1573=5X 286+143, 
286=143X 2+0. 
所 以 (a,5) 一 (一 1859,1573) 一 (1859,1573) 一 143。 
【你 应 该 知道 的 】 
欧 几 里 得 算法 的 计算 机 实现 可 描述 如 下 。 


GCD(a.b) 
输入 : 整数 a 二 b 宇 0 
输出 : a 和 2 的 最 大 公约 数 
1. while (0520) do 
(1) г=а % b; 
(2) a=b; 
(3) 5 一 r。 


2. return a. 


算法 为 表达 方便 要 求 输入 整数 a 二 bp 宇 0, 具 体 实现 时 可 利用 (a,5) 王 (lal ,165|) 调 整 输 
人 参数 。 

【进一步 的 知识 

欧 几 里 得 算法 还 可 以 通过 递归 调用 实现 : 


GCD(a,b) 

输入 : 整数 a 二 5b 二 0 

输出 : a 和 4 的 最 大 公约 数 

1. if b==0 return a; 

2. else return GCD(b,a % b). 


由 定理 1.4(4) 知 ,Yz,yEZ, 有 (a,0)1az 十 by, 实 际 上 
Va,b € Z,3jzo,yo EZ, 使 得 (a,6) 一 aro 十 py (1-3) 
REMF a,b) =, 二 rn-2 一 rn-1 gn-1 王 rs-2 一 (Ts-3 一 fn-2 qx-2) gu- 一 … 一 azo 十 py。 即 
(a,b) 可 以 表示 为 a 和 2 的 整 系数 线性 组 合 ,zo 和 yo 称 为 线性 表 出 系数 。 
同时 求 出 最 大 公约 数 和 线性 表 出 系数 的 算法 称 为 扩展 欧 几 里 得 算法 。 
例 1.10 求 使 (243,198) 王 243z 十 198y 成 立 的 zx у. 
解 : 243 一 198 十 45 || 9=198х(—2)-+(243—198)Х9=243Х9—198Х11 


198=45X4+18 9 一 45 一 (198 一 45X4)X2 一 198X( 一 2) 十 45X9 
45=18X2+9 9=45—18X2 
18=9X2 
ВТ (243.198) =9; r=9,y=—11 
注意 到 ,对 于 gcd(o bo) =d ХРА А. a。 和 如 利用 欧 几 里 得 算法 最 终 会 得 到 gcdCd,0) ,此 
时 a,=d,b,=0。 
A) 把 a 和 565, 代入 az 十 by 二 d, 显 然 xz, 二 1,y, 可 以 为 任意 值 ,不 妨 取 y, 一 0。 
(2) 如 果 Zi 是 ai Ха tb: Ху =d 的 解 ,那么 对 于 а-л Ха tbi- Ху 5da; = 
16а Ы (hy RER x 除 以 y 的 余数 ), 即 : 
bizi X zi + lai% bi) Ху; =d 
Sai- X yi Hbi X (x; — [а/а] X yD =d 
即 ; Ti-l = Yis Yi- = Ti 一 [@—/%—41]1ХхХ yi (1-4) 
其 中 ,[a/b] 表 示 取 a/b 的 整数 部 分 。 
如 一 243,0 一 198 时 上 述 过 程 可 以 表述 为 : 


i а b; a/b; a; %b; х РА 

0 243 198 1 45 9 —2—9Хх1=—11 
ї 198 45 4 18 一 2 1 一 (一 2)X4 一 9 
2 45 18 2 9 1 0 一 1X2 一 一 2 

3 18 9 2 0 0 1 一 0X2=1 

4 9 0 这 / 1 0 


根据 式 (1-4) ,就 可 以 用 程序 进行 迭代 了 。 

【不 妨 一 试 】 

请 使 用 熟悉 的 程序 设计 语言 ,或 者 使 用 程序 流程 图 、 伪 码 的 方式 ,根据 上 述 分 析 , 写 出 扩 
展 欧 几 里 得 算法 。 

上 述 方法 需 首先 计算 出 最 大 公约 数 ,然后 逐步 逆向 代入 ,求解 出 线性 表示 系数 ,实际 上 ， 
扩展 欧 几 里 得 算法 还 有 一 种 更 有 效 的 实现 方式 。 
因为 ro=ri qi 十 rz 
所 以 rs 二 roX1 一 ni Ха, 


туғ qt тз, з р =r (ror gq) Ф ғо Сф) т ХОУ qa) 


rs=rs gs 十 ғау т ғ r; 93 = (ғо Х1—ғ Хаф) – (б ХС) әт Х (1+ 992)) q 
=r Х(144 q) т ХС (1+ 192 )93з) 


所 以 az 十 by 一 (a;0) 可 写作 ri=ro Ха т Ху. ВФ, па, 6. = (а,6). 


i Xi Xi 
1 1 =q 
2 一 gz 关 1 1—(—q)Xg; 
3 1—(—g:)Xg; —q—(l—(—gq)Xg,)gs 
不 妨 猜想 : 
Ti = Zi — Tia X qis Yi = Yiz — Yi X qı (1-5) 


其 中 ,zx_i1 二 1,zo 二 0,y-_1 二 0,yo 二 1。 可 以 通过 数学 归纳 法 证 明 , 此 处 从 上 略 。 
如 a 二 243,6 二 198 时 上 述 过 程 可 以 表述 为 : 


公约 


а b а% q х; » a;%b =a, x; +b, у 

1 1 0 

0 0 1 

1 243 198 45 1 1—-0х1=1 0 一 1X1 王 一 1 45 一 243X1 十 198X (一 1) 
2 198 45 18 4 0 一 1X4 一 一 4 1 一 (一 1) X4 王 5 18 王 243X( 一 4) 十 198X5 
3 45 18 9 2 1—(—4)X2=9 一 1 一 5X2 王 一 11 9=243X9+198X (一 11) 
4 18 9 0 2 

可 将 扩展 欧 几 里 得 算法 描述 如 下 。 


Extended_GCD(a.b) 
输入 : 整数 a 二 b 宇 0 
输出 : a 和 2 的 最 大 公约 数 ,整数 zs 和 yo 满足 ало Hby = (a,b) 


1. zo=1,x1=0,y =0,%=1; // 初 始 化 

2. while (0520) do 
(1) q=[a/b]; //[z] 表 示 取 整 
(2) r=a—bq; 


(3) tr Szo tig y Sy —У19+ 


(4) a=b,b=r s £o = X1 s Yo = Y1 9X1 = X2 9 Y1 F уз 


3. return a sTo s yoo 


【思考 】 

如 果 a=1 844 674 407 370 955 161 621,b=1 236 744 073 709 551 616 ,上面 的 计算 最 大 
数 的 算法 有 什么 问题 ? 有 什么 解决 方法 ? 

【你 应 该 知道 的 】 

能 够 计算 出 最 大 公约 数 , 求 解 最 小 公 售 数 就 容易 了 ,由 定理 1.7(3) 可 知 emlab) =a X 


b/gcd (a,b)。 实 际 上 计算 最 好 使 用 Іст (a,b)=a/gcd (a,b) Xb。 


1.4 二 元 一 次 方程 


解 方程 是 代数 中 的 一 个 基本 的 问题 ,在 古代 , 当 算 术 里 积累 了 大 量 的 关于 各 种 数量 问题 
的 解法 后 ,为 了 寻求 系统 的 、 普 遍 的 方法 ,以 解决 各 种 数量 关系 的 问题 ,就 产生 了 以 解 方 程 的 
原理 为 中 心 问题 的 初等 代数 。 与 中 学 学 习 的 解 方 程 方 法 不 同 之 处 在 于 : 

(1) 本 书 关注 的 都 是 方程 的 整数 解 ; 

(2) 本 节 研 究 一 个 二 元 一 次 方程 的 求解 。 

定理 1.8 二 元 一 次 方程 有 解 的 条 件 

设 а,Ь 为 不 全 为 零 的 整数 ,cEZ, 则 方程 wz 十 by 一 c 有 整数 解 a,b) |с. 

证 明 : >: 若 az 十 by 一 c 有 整数 解 ,显然 (ae,0) Х (а/(а„Ь) Хх+6/ а.) Ху) =с, 

FELA (а,Ь) |с; 

=: 不 失 一 般 性 ,可 设 asb > 0, 因 此 存在 整数 wx 和，* (Eau tov= (a,b), AH а,Ь) |с, 

所 以 不 妨 设 c= 二 (a,b)Xgq,g€EZ， 

所 以 zx。 二 ug ,yo 二 vg 是 方程 ax 十 by 二 c 的 整数 解 。 证 毕 。 

推论 1.6 二 元 一 次 方程 的 解 。 

当 a,b 为 不 全 为 零 的 整数 ,cEZ,(a,b)|c, 方 程 az 十 by 一 c 有 特 解 x。,yo ,方程 通 解 可 以 
表示 为 : x 二 zo 十 bt/(a,6),y 二 yo 一 at/(a,b) Є, 

例 1.11 求 方程 243z 十 198y 一 909 的 整数 解 。 

解 : 先 求 出 系数 的 线性 表达 式 , 则 先 使 用 欧 几 里 得 除法 计算 系数 的 最 大 公约 数 : 


243 一 198 十 45 9= (243—198) X9 一 198X2 一 243X9 一 198X11， 
198 一 45X4 十 18 9 一 45 一 (198 一 45X4)X2 一 45X9 一 198X2， 
45=18х2+9 9=45—18х2, 

18=9х2 反 推 : 

因为 (243,198) 一 91909， 

所 以 此 方程 有 解 ; 


因为 243X9 一 198X11 一 9， 

所 以 243X9X101—198X11X101=101X9, 

所 以 20=101х9= 909, yo 11X101 1111 ( 特 解 )， 
所 以 x 二 909 十 198/9Xt 二 909 十 221,y 二 一 1111 一 243/9Xt 二 一 1111 一 27t,tE€Z О). 
【不 妨 一 试 】 

你 能 编程 实现 求解 整 系数 方程 nx 十 my 一 k 的 整数 解 吗 ? 
例 1.12 求 多 元 一 次 方程 12x 十 6y 一 5 二 13 的 整数 解 。 
解 : 设 u=2r+y RI r=ut+s,y=—u—2s,sEZ; 

而 原 方程 化 为 : 6v 一 5* 一 13， 

因为 (6,5) 二 1113, 所 以 有 解 ， 

因为 13=6X3 一 5X1, 所 以 u==3 十 5t,z 二 1 十 61,1€Z; 
所 以 z= 二 3 十 51 十 s,y 3—5t—2s,z=1+6t,t,sEZ. 


зв 


1.5 整数 唯一 分 解 定理 


整数 唯一 分 解 定理 又 称 为 算术 基本 定理 ,是 整除 理论 的 中 心 内 容 之 一 ,是 初等 数论 中 最 
为 基础 同时 也 是 最 为 重要 的 结论 之 一 。 

定理 1.9 整数 唯一 分 解 预备 定理 

车 р 为 素数 , 则 整数 a 不 能 被 p 整除 (р.а) =1. 

证 明 : 因为 р МЖЖ. 

所 以 p 只 有 两 个 正 因数 , 即 1 A po 

车 (p,a) 关 1, 则 只 有 (p,a) 二 pp, 与 整数 a 不 能 被 p 整除 矛盾 。 

反之 ,车 (p,a) 二 1, 则 р 和 a 是 互 素 的 , 故 ра. 证 毕 。 


推论 1.7 р.а ,as,…,a,EZ,n 宇 2,n€EZ, 如 果 p| Па. й 3:Є2.1=<:< 
k=1 


n (EF plais 
定理 1.10 整数 唯一 分 解 定理 (算术 基本 定理 ) 
任意 大 于 1 的 整数 ”都 可 以 表示 成 素数 的 乘积 ,在 不 考虑 顺序 的 情况 下 ,该 表达 式 
唯一 。 
BYEZ n= IERTARE LEELEE 是 素数 ; Жп = На; 
k=1 k=1 
т < < < д. Ж.О <<) ЖЖ; Шз =г.р, = фо 


将 分 解 式 [To 中 相同 的 素数 合并 , 即 可 得 到 ， 
„= Ц» (1-6) 


其 中 ,pi 是 两 两 不 同 的 素数 ,整数 a 二 0.15 (1-6) 5 n EREDE. 
例 1.13 45=3?X5,49=7? ,100 一 22 X52:,128 一 27 。 


推论 1.8 设 2EZ,x>1, 且 有 标准 分 解 式 一 ПШ ,pr 是 两 两 不 同 的 素数 ,ww 二 0,1< 


к<з.Ш.4|пеа= TI .0<а Фа.1<0<5, 
【思考 】 
标准 分 解 式 = = I 的 整数 有 多 少 个 不 同 的 正 因 数 ? 


可 以 看 出 整数 唯一 分 解 定理 实际 上 是 从 谱系 的 角度 考察 正 整数 ， 为 研究 整数 的 性 质 提 
供 了 一 种 确切 而 富有 效率 的 做 法 。 在 实际 使 用 中 ,为 分 析 的 便利 性 , 常 将 指数 a 的 限制 条 
件 放宽 到 wx 之 0。 利 用 整数 标准 分 解 式 , 最 大 公约 数 . 最 小 公 倍 数 的 求解 也 变 得 直观 了 ,一 
些 性 质 的 证 明 也 随 之 简单 明了 了 。 


定理 1.11 设 大 于 1 的 整数 4 二 ][ руз» = Tot ,其 中 , 户 是 两 两 不 同 的 素数 ,整数 
k=1 k=1 


аһ220.8,220.1<2<5. Ж: 


ET 


0) а = [[ EP, n =a +80 Kk s); 


k=1 


(2) alb Өосп,<,(1<Ё<5); 


G) (a,b) = [[ p} ,其 中 ,x = mina pDA <k < s); 
k=1 


(4) [a,b] = [[ pr EP, = тах(а,.)(1<0Ё<5), 
k=1 
例 1.14 计算 45、100、150 的 最 大 公约 数 和 最 小 公 倍数 。 
й: 因为 45=3:X5,100=2? X5,150=2X3X5, 
ВТШ (45,100,150) = 2° 3° х5! =5,[ 45,100,150 ] 一 22 X32X52 一 900。 
11.15 已 知 nlab,nlcd,nlac 十 bd, 求 证: п|ас,п|ба„ 


证 明 : 设 的 标准 分 解 式 为 » = [[ ру. 


因为 nlab,nlcd， 
所 以 n? [арса 


即 : Tise аса. 

所 以 Vi 有 : ре lac R ре |54 

又 因为 nlac 十 bd, 所 以 Vi,pr* |ac ре (Ба 同时 成 立 ， 

Вр. nlacsnlbd, 证 毕 。 

【你 应 该 知道 的 】 

整数 标准 分 解 式 是 通过 正 整数 的 素 因子 分 解 建立 的 ,是 一 个 构造 性 过 程 ,这 并 不 意味 这 
是 一 个 实际 可 行 的 算法 。 实 际 上 ,大 整数 分 解 的 困难 性 恰恰 成 为 密码 设计 依赖 的 一 个 出 


1.6 素数 


素数 的 研究 是 密码 学 的 一 个 重要 问题 ,很 多 密码 算法 都 是 建立 在 大 素数 的 基础 上 的 。 
关于 素数 有 多 少 、 素 数 的 分 布 素性 判断 等 问题 的 研究 对 密码 学 发 展 也 起 到 推动 作用 。 这 里 
仅 介绍 一 些 重要 结论 ,更 多 内 容 请 查阅 相关 文献 。 

定理 1. 12 素数 有 无 穷 多 个 

证 明 :( 反 证 法 ) 假 设 素数 个 数 是 有 限 的 , 设 pi 三 ps 三 … 三 p, 是 全 部 素数 。 有 一 个 大 于 


1 的 整数 二 本 pr 十 1, 有 一 个 素 因 子 g。 则 由 于 全 部 素数 只 有 pi < p < < p BE q 


必 为 其 中 的 某 一 个 ,不 妨 假定 g = pA Li 5) Ж p: 1 п. а = [| p 十 1 可知 (pisn) = 
k=1 
1 ,产生 矛盾 。 因 此 素数 有 无 穷 个 .证 毕 。 
例 1.16 求证 : 形 如 4n 一 1 的 素数 有 无 穷 多 个 。 
证 明 : 设 形 如 4n 一 1 的 素数 只 有 有 限 个 , 设 ni 一 4k; 一 1(k;E€2Z,i 一 1,2,…，,s) 是 形 如 


4n 一 1 的 有 限 的 :个 素数 , 则 构造 一 个 新 的 形 如 42 一 1 的 数字 户 一 4 Ti l, 


因为 mi|p 十 1， 
所 以 (mi,p)==1,i=1,2,*…,s， 
所 以 р 的 所 有 素 因子 都 不 在 这 s 个 素数 中 。 
再 证 p 的 素 因子 中 有 形 如 4n 一 1 的 。 
因为 素数 只 能 为 Antl 的 形式 ,而 p 的 素 因子 不 可 能 全 为 Antl 的 形式 ,否则 p 只 能 
是 4n 十 1 形式 ， 

所 以 р 的 素 因子 形 如 4n 一 1 却 不 在 这 有 限 的 ;个 素数 中 ,矛盾 。 

即 形 如 4n 一 1 的 素数 有 无 穷 多 个 。 证 毕 。 

【思考 】 

是 否 能 类 似 地 证 明 形 如 4n 十 1 的 素数 有 无 穷 多 个 ? 

注意 形 如 4n 十 1 的 数字 的 р 的 素 因 子 可 能 不 是 Antl 型 的 。 因 为 ,(4s 一 1) 041—1) = 
4z 十 1, 所 以 形 如 4n 十 1 的 数字 的 р 的 素 因子 可 能 全 是 形 如 4n 一 1 的 。 因 此 ,构造 p 的 时 候 
需 考 虑 让 p RA 4n 十 1 形式 的 素 因子 。 


定理 1.13 素数 定理 lim ЛОО 一 1 
И 

其 中 ,z 为 正 整 数 ,x(z) 表 示 不 超过 xz 的 素数 的 个 数 ,ln zx 表示 xz 的 自然 对 数 。 

素数 定理 说 明 ,素数 在 正 整数 集合 中 的 分 布 是 稀疏 的 。 

【思考 】 

素数 越 大 越 “ 和 稀疏 ”, 可 以 找到 长 度 超过 ,没有 一 个 素数 .连续 的 整数 数列 吗 ? 

【进一步 的 知识 】 

自古 以 来 ,数学 家 都 在 致力 于 解决 寻找 素数 的 问题 ,梦想 发 明 能 够 计算 出 素数 的 公式 。 
欧 拉 给 出 的 公式 很 简单 : 刀 十 2 十 41 ,在 1000 万 以 下 的 所 有 素数 中 ,该 公式 可 得 出 占 总 素数 
Й 47.500. MH n 值 较 低 时 ,这 个 公式 工作 得 很 有 成 效 。 当 ) 值 小 于 100 时 ,该 公式 得 出 
86 个 素数 , 合 数 只 有 14 个 。 当 n 值 小 于 2398 时 ,得 素数 的 机 会 一 半 对 一 半 。 类 似 的 公式 
还 有 4n? +170n+1847,n! 1%. 

下 面 介绍 两 种 密码 学 中 使 用 的 具有 特殊 形式 的 素数 。 

定义 1.5 WERKA Fermat 素数 ) Е Еп) =2 十 1 的 素数 称 为 费 马 素数 。 

例 1.17 RE: 若 2” 十 1 为 素数 , 则 m= 二 2"。 

证 明 : 8 т=1.2”+1=3 为 素数 ,此 时 mm 二 2°; 

车 m> RTRM plm. 

因为 2w* 十 1|2" 十 1， 

LAH 2"? 1223. 

所 以 2" 4-1 为 合 数 ,产生 了 矛盾 

所 以 m 没有 奇 素 因子 , 即 m 只 能 有 素 因 子 2; 

也 就 是 m= 二 2" ,证 毕 。 

这 是 一 个 必要 非 充 分 条 件 ,F(n) 并 不 一 定 是 素数 。1732 年 , 欧 拉 巧 妙 地 证 明了 641|F(5)， 
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此 时 F(n) 只 能 称 为 费 马 数 。 目 前 ,人 们 还 不 知道 费 马 素数 是 否 是 无 穷 多 个 。 

定义 1.6 梅森 素数 (Mersenne 素数 ) БШ M, 一 2? 一 1 的 素数 称 为 梅森 素数 。 

例 1.18 求证 : 车 xm" 一 1 为 素 , 则 mm 二 2 H n HR. 

证 明 : 因为 Vp,g,n€EZ,p#g,p 一 q|p" 一 g"， 

FELA т—1|т"—1. 

所 以 m" 一 1 为 素数 要 求 m—1=1, В m=2; 

Щ т=2 if, Ë n HAR, n 有 素 因子 &, 则 2: 一 112* 一 1, 目 2: 一 1 之 2: 一 1 二 3， 

所 以 2" 一 1 为 合 数 ,与 m" 一 1 为 素数 矛盾 ， 

所 以 m 二 2,n 为 素数 。 证 毕 。 

同样 的 ,M, 也 不 一 定 是 素数 。 

RE 2014 年 4 月 ,累计 发 现 48 个 梅森 素数 ,最 大 的 是 如 一 ?22 咪 各 一 1, 这 也 是 已 知 的 最 
大 素数 ,此 时 M, 是 一 个 17 425 170 位 数 ,每 位 若 占 lcm, 这 个 数字 将 比 4 个 马拉松 赛 道 还 要 
长 ,那么 如 何 判断 这 个 数字 是 素数 呢 ? 

寻找 素数 有 效 地 确定 一 个 给 定 的 数 是 否 是 素数 通常 使 用 被 称 作 "素性 检验 ”的 方法 ,将 
在 第 4 章 中 介绍 。 

由 于 计算 机 采用 二 进 制 , 费 马 素数 和 梅森 素数 作为 素数 被 利用 时 ,可 以 将 除法 转化 为 移 
位 加 减法 ,从 而 带 来 计算 上 的 便利 。 如 给 定 整 数 a, 可 表示 为 a 一 MXg 十 r, 由 于 a 二 2? Xx 
ао Ба = (2° —1) Хао +а +ао,. ПИ ч =ао.ғ=а Ба, Ж.а а 的 最 低 n 个 有 效 位 ,ao 
为 a 布 移 n i. H laita 12 М, , 则 对 其 继续 进行 上 述 运算 。 

例 1.19 10100010 00111100 10101011 除 以 27 一 1 所 得 的 余数 是 多 少 ? 

解 : 余数 r= 二 1010001 十 0 00111100 10101011=111100 11111100, 


小 结 


本 章 主要 研究 了 整数 之 间 的 关系 ,主要 内 容 归纳 为 以 下 三 个 部 分 。 
(1) 对 于 一 个 正 整 数 a: 

la 
4 二 /素数 : 2 和 奇 素数 。 


合 数 : 唯一 分 解 为 素数 宕 的 乘积 : n= Т» ,pi 为 素数 ,ww 为 整数 。 


(2) 对 于 两 个 正 整 数 a Mb: 


*=0 е bla ө (a,b)=6b 
O a=bq+r 
rE [0,6) = (a,b)=(b,r); 


@alb,bla Ө а=+Ь; 

© Fa 是 素数 , 则 alb 或 者 (oa,0) 一 1; 

@ (a,1)=1; (a,0)=a; (a,b)=(—a,b); 

© Vr,yEZ,(a,b)|artby; Эхо. у EZ, (a,b) =ахь-ЕЬу o 
(3) 对 于 三 个 正 整数 a,b 和 c: 

Dalb,blc > alc; 
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т 


© cla,clb = cl(a,5) ,claz 十 by; 
9) (а,Ь) .с) = (а,Б.с) = (а, .с)); 
@c 是 素数 ,clab, 则 cla 或 c1b。 


作业 


1. Ж пЄ2.# 2|п,5|п,11|п, RE: 110|n. 

2. 求证 : 任意 三 个 连续 整数 的 乘积 能 被 6 整除 。 

3. 请 判断 下 面 两 数 是 否 满足 xz|y: 

(1) z=3517,y=763 189 (2) z=189,y=89 654 
4. Ely) =1 RHA latya Hy Hary). 

5. 车 zyEZEZ+ ,求证 : 

(1) #‹х,у)=1,Й(х",у")=1; 

(2) Æ ly aly 

6. 请 计算 最 大 公约 数 , 并 将 其 表示 为 两 数 的 整 系数 线性 组 合 : 
(1) 1387,162; 

(2) 1613,—3589; 

(3) —2947,3772; 

(4) 100 000 127,100 000 463; 

(5) 123 456 789, — 654 321. 

7. 请 计算 : (27 090,21 672,11 352). 

8. Ж т,пЄ Zt+ ,求证 ; (а" —1,а" 1) =а"""% —1, 

9. 求解 二 元 一 次 不 定 方程 : 

(1) 987z 十 2668y 一 610 (2) 12 345z 十 678y 一 14 
(3) 345z 十 1225y 一 21 (4) 543z 十 678 910y 一 45 
10. 求解 方程 : zx 十 8y 十 50z 一 156。 

11. 写 出 下 列 整数 的 唯一 分 解 式 : 

(1) 77 571 (2) 34 560 (3) 247 860 


М ы чы 


12. 标准 分 解 式 一 Т] ре 的 整数 ， 有 多 少 个 不 同 的 正 因数 ? 


13. 设 a,p,cEZ, 求 证 : [ (asb), lasc) ]=(a,[ 6,c])。 

14. 115-11. CPH nA 1) 是 质数 还 是 合 数 ?10…01:( 中 间 交 个 0) 呢 ? 

15. H nEZ*,n 二 2, 求 证 : nMn! 之 间 必 有 素数 。 

16. 求证 : 形 如 4n 十 1 的 素数 有 无 穷 多 个 。 

17. 请 编写 一 个 实现 п 进 制 和 wm 进 制 数字 相互 转换 的 程序 (如 十 进 制 和 二 进 制 ) ,给 出 
程序 的 关键 代码 和 数学 原理 。 

18. 编写 程序 产生 10 000 以 内 的 素数 ,请 写 出 找到 的 素数 的 个 数 、 最 大 的 两 个 素数 。 请 
给 出 关键 代码 ,记录 运行 时 间 ,分 析 最 耗 时 的 步骤, 对比 写 出 程序 中 已 经 实现 的 提高 效率 的 
措施 。 


数学 


学 : 


19. 请 用 程序 实现 nz 十 my 一 上 的 求解 ,并 求 出 m=100 000 127. п = 100 000 463, k= 
3271 的 解 。 给 出 关键 代码 与 关键 的 中 间 结 果 。 分 析 程 序 设 计 过 程 中 容易 犯 的 错误 或 者 是 
注意 要 点 (至 少 给 出 三 个 )。 

20. 有 一 个 数字 游戏 : 将 你 的 生日 写成 连续 的 数字 ,如 伟大 的 高 斯 出 生 在 1777 年 4 月 
30 A ,写成 17 770 430, 将 这 个 数字 重新 排列 ,得 到 最 大 的 数字 减 去 最 小 的 数字 的 差 , 如 果 这 
个 数 是 9 的 倍数 , 则 你 将 名 留 青史 。 如 高 斯 的 数字 是 77 743 100 一 00 134 777=77 608 323, 
这 个 数字 能 被 9 整除 ,注定 了 高 斯 的 成 功 。 

你 的 生日 也 是 如 此 吗 ? 你 的 朋友 的 呢 ? 你 知道 为 什么 会 有 这 个 结果 吗 ? 


【教学 目的 了 

掌握 同 余 、 剩 余 类 / 系 、 逆 元 、 欧 拉 函 数 等 基本 概念 ,能 够 利用 欧 拉 定 理 和 费 马 小 定 
理化 简 、 求 解 高 次 紧 的 同 余 式 , 能 够 求解 同 余 方程 式 和 同 余 方程 组 。 掌 握 同 余 理论 、 模 
重复 平方 计算 法 和 和 孙子 定理 在 计算 机 和 密码 学 中 的 应 用 。 

【教学 要 求 】 

通过 本 章 的 学 习 , 读 者 能 够 : 

(1) 识 记 : 同 余 、 剩 余 类 和 剩余 系 、. 逆 元 、 欧 拉 函 数 等 基本 概念 和 性 质 。 

(2) 领会 : 欧 拉 函数 、 剩 余 类 的 分 解 、 完 全 剩余 系 的 分 解 。 

(3) 简单 应 用 : 运用 模 重 复 平方 法 、 欧 拉 定 理 计算 高 次 和 协同 余 式 , 解 一 次 同 余 方 程 
式 和 同 余 方程 组 。 

(4) 综合 应 用 : 同 余 理论 、. 欧 拉 定 理 、 孙 子 定理 、 模 重复 平方 计算 法 等 在 RSA А 
密码 机 制 中 的 应 用 。 

【学 习 重 点 与 难点 】 

本 章 重点 是 同 余 的 基本 性 质 、 逆 元 , 解 一 次 同 余 方程 , 模 重 复 平方 计算 法 , 欧 拉 函 
数 , 欧 拉 定理 与 费 马 小 定理 ,孙子 定理 解 一 次 同 余 方程 组 ; 难点 在 于 模 重 复 平 方 计算 法 、 
孙子 定理 解 一 次 同 余 方 程 组 和 RSA 公 钥 密码 机 制 。 


在 正式 开始 本 章 学 习 之 前 ,请 首先 思考 下 面 生活 中 常 遇 到 的 问题 。 

(1) 24 小 时 制 的 19 点 为 什么 就 是 12 小 时 制 的 晚上 7 点 ? 

(2) 如 何 将 计时 器 记录 的 10 000ms 转化 为 XX 小 时 XX 分 XX 秒 的 形式 ? 

(3) 如 果 今天 是 星期 二 ,5 天 后 是 星期 几 ? 50 天 后 呢 ? 5000 天 后 呢 ? 

你 能 给 出 下 面 这 道 常 见 算法 题 的 解法 吗 : 如 何 判断 链表 是 否 有 环 ? 如 何 计 算出 环 的 
长 度 ? 

你 能 设计 一 个 简单 的 掷 人 山子 游戏 ,展示 用 户 掷 出 的 任意 点 数 吗 ? 或 者 你 能 设计 一 个 扑 
克 游 戏 , 实 现 将 54 张 扑 克 随 机 发 给 各 玩家 吗 ? 

你 知道 可 以 通过 一 条 乘法 语句 就 快速 地 实现 加 密 吗 ? 图 2-1 通过 “y 一 工 X subindex% 
N” 快 速 地 将 图 2-1(a) 所 示 的 lena 图 像 加 密 为 无 意义 乱码 的 图 2-1(b) ,其 中 subindex 代表 
每 个 像素 的 坐标 ,x 和 y 分 别 代表 加 密 前 后 图 像 中 像素 的 灰 度 值 ,N 取 值 251。 

总 之 ,无 论 是 生活 中 、 程 序 设 计 中 还 是 密码 学 算法 中 ,都 会 遇 到 本 章 讲述 的 内 容 : 同 余 
理论 。 


信息 安全 数学 基础 


(a) 原始 lena 图 像 (b) 加 密 后 lena 图 像 
图 2-1 简单 加 密 算 法 示意 图 


2.1 同 余 


在 数学 中 ,所 谓 同 余 , 其 实 就 是 “余数 相同 ”。 如 钟表 转 一 圈 一 共 12 点 ,19 二 12X1 十 7， 
7 二 12X0 十 7, 因 为 19 和 7 除 以 12 余数 相同 ,因此 19 和 7 模 12 同 余 ( 除 数 称 为 “ 模 ”), 因 此 
19 点 等 于 7 点 ( 模 12 点 的 意义 下 )。 

定义 2.1 HR 

Їй т,а,ЬЄ7,,тэ=0,а=аут-Ету ,б=вт-Ет« ду sqz sri orz EZ гу =r: Жа ЖЬ т 
同 余 , 记 为 a 三 b (mod m) ; 否则 称 a 和 6 im KEA. iH аз (mod т), 

【请 你 注意 】 

(1) a=b (mod т) 还 可 以 记 为 a 三 ,6b。 

(2) a=b (mod m) 有 两 种 等 价 的 整除 式 表示 形式 : mla 一 b 或 4 二 5b 十 km,kEZ。 

(3) 同 余 是 一 种 等 价 关系 。 

例 2.1 15=1 (mod 7); 25=4 (mod 7); 35=0 (mod 7), 

例 2.2 设 mEZ, 求 证 : (пп 1.т?) =1. 

证 明 : 设 (пи 1,т?) =а. 

所 以 mn=1 (mod d),m’ 志 0 (mod d), 

所 以 т'*=тпХт*=п X т*=0 (mod d), 

所 以 m=mn X m=n X т*==0 (mod d) 

所 以 1==тп==0 (mod d) 

所 以 d=1, 证 毕 。 

思考 】 

如 果 今 天 是 星期 二 ,那么 20 天 后 是 星期 一 (因为 20=—1 (mod 7)), 你 知道 如 何 计 算 
某 个 日 期 是 星期 几 吗 ? 如 2008 年 5 月 20 日 是 星期 几 ? 

有 一 个 著名 的 蔡 勒 公式 可 以 计算 出 任意 给 定 的 nn 年 m 月 & 日 的 星期 数 ,你 知道 是 怎么 
计算 的 吗 ? 是 怎么 推论 出 来 的 ? 

【思考 】 同 余 在 计算 机 基础 中 的 应 用 
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(1) 异 或 操作 其 实 是 模 2 加 法 ,为 什么 ? 


а 1 1 0 0 а 1 1 0 0 
b 1 0 1 0 b 1 0 1 0 
a xorb 0 1 1 0 a+b(mod 2) 0 1 1 0 


(2) 补 码 的 表示 方法 是 : 正 数 的 补 码 就 是 其 本 身 ; 负数 的 补 码 是 符号 位 不 变 , 其 余 各 位 
取 反 ,最 后 加 上 1。 计 算 机 通过 采用 补 码 ,巧妙 地 把 符号 位 参与 运算 ,将 减法 变 成 了 加 法 ,这 
背后 蕴含 怎样 的 数学 原理 呢 ? 


十 进 制 补 码 
3 0 000 0011 0 000 0011 
—5 1 111 1011 + 11111011 
11111110 一 十进制 一 2 
十 进 制 补 码 


一 3 1 111 1101 1 111 1101 
一 5 1 111 1011 +111101 
1| 1111 1000 一 十 进 制 一 8 

(3) C 语言 里 常用 到 移 位 操作 ,如 т 和 xz 福 1, 分 别 表示 将 整 型 数 zx 按 二 进 制 位 向 左 
移 一 位 和 向 右 移 一 位 ,高 位 移 除 后 低位 补 0。 如 z=3 写成 二 进 制 数 是 0000 0011,11 变 
成 0000 0110 ,结果 是 6; 221 进行 算术 右 移 变 成 0000 0001, 结 果 是 1。 又 如 xz 一 一 3 写成 二 
进 制 数 是 1111 1101,21 变 成 1111 1010 ,结果 是 一 6,z 礼 1 进行 算术 右 移 变 成 1111 1110, 
结果 是 一 2。 根 据 前 面 的 介绍 ,你 能 将 移 位 操作 用 数学 公式 表达 出 来 吗 ? 循环 移 位 呢 ? 

(4) 字符 串 移 位 包含 的 问题 : 给 定 两 个 字符 串 S 和 S; ,要 求 判定 S: 是 否 能 够 被 S 做 循 
环 移 位 得 到 的 字符 串 包含 。 例 如 ,给 定 5, =“AABCD” H 5, = 一 “CDAA”, 返 回 “true”; 给 定 
Sı =ABCD 和 5S, 一 ACBD., 返 回 “false”。《 编 程 之 美 ) 一 书 中 给 出 了 两 种 方法 。 解 法 一 : 对 
字符 串 5, 进行 循环 移 位 ,依次 对 字符 串 S, 进 行 字 符 串 包含 与 否 的 判断 ,遍历 所 有 可 能 性 。 
此 法 直接 、 易 懂 , 但 是 效率 不 高 。 解 法 二 : 注意 到 对 Si 做 循环 移 位 所 得 的 所 有 字符 串 都 是 字 
符 串 5, Si 的 子 字符 串 ,将 问题 转化 成 考察 5, 是 否 在 5, S, 中 。 尽 管 解法 二 效率 提高 了 ,但 
是 却 多 占用 了 Si 大 小 的 空间 。 我 们 能 够 更 进一步 得 到 解法 三 : 利用 循环 队列 的 思想 ,在 5, 
后 面 “虚拟 ”地 加 上 一 个 S ,把 S; 的 最 后 一 个 元 素 . 再 指 回 Si 的 第 一 个 元 素 , 再 按照 解法 二 
的 思路 进行 即 可 。 你 知道 循环 队列 的 指针 应 该 如 何 实现 吗 ? 你 能 给 出 上 述 问 题解 法 三 的 代 
码 吗 ? 

定理 2.1 Їўт.а.&.с.а.ЁЄ7„тэ=0.а= (той т) .с=4(той т) 

(1) Vz.yEZ,ar+cy=bxr+dy(mod т) ,特别 地 : a+k=b+k(mod m). 

(2) acŒ=bd (mod т) ,特别 地 : ak=bk(mod т) a=b (mod m). 


(3) Èn E Zt, (х) = Darig) = Doy’, Vab; EZ, 若 
i=1 j=1 


Y 1<i<n,a;=b;(mod т). Y r=y(mod m), 有 f(x) 三 g(y)(mod т). 
(4) 若 d|m, M] a=b(mod d). 
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(5) #4] аот) 9—0. (mod =}. 


(6) 车 а= (тоа т). a=b (moa z l 


(7) 车 a=b(mod т;). У 1<i<k Sa=b(mod[m; ,mz "+ 


(8) Casm)=(b,m), 


证 明 : a=b(mod m) Sa =b+qım,c=d (mod т) Әс 
(1) Yz,yEZ,axr+tcy=brt+dy+(qurtqy)m, 
所 以 az 十 cy 三 br 十 dy (mod т). 

(2) ac=bd+ (ад tba: + аут) m, 

所 以 ac=bd (mod m); 

还 可 以 写成 : ас==(а(тпой m) Хс(той m)) (mod m), 
(3) 由 (1) 易 证 ,此 处 从 略 。 

(4) 因为 a 三 b (mod m), 

所 以 mla 一 b， 

因为 dim， 

所 以 dla 一 6b， 

所 以 a=b (mod d). 

(5) Pin Be 


т 


所 以 3 一 二 十 qi F 4° 


РЕА оа"). 
(6) 因为 ak=bk (тоа т). 
所 以 т| (ao 一 0)R， 


k 
Дет) k) е зы 


т Ё эр 
因为 (2 бЕр)” 1, 


Дет Ж (a—b); 
== т 
所 以 а mod =). 
(7) 因为 Y 1<:<.а=%Ь (mod m;), 
所 以 mila 一 6b， 


所 以 [om тз. 5 ть а=. 

所 以 a=b (тоа [m; ,ms . ++. т, ])。 

(8) 因为 a 二 qum 十 b， 

所 以 由 定理 1.4(3),(a,m) 二 (m,b)。 

例 2.3 ЕЯ 15=1 (mod 7) ; 25=4 (mod 7), 所 以 : 
(1) 40 =15+25 =1+4=5 (mod 7); 


‚ть])ь 


dtqm,q q} EZ 


(2) 145 =15X3+25X4 =1X3+4X4=19=5 (mod 7); 
(3) 375 ==15Х25 =1 Х4=4 (mod 7); 

(4) 625==252==42==16==2 (той 7). 

12.4 E 35315 (mod 28), 所 以 : 

(1) AX 28=7х4, 

所 以 35 三 315 三 0 (той 7),35==315 三 3 = —1 (той 4); 

(2) 因为 71(35,315,28)， 

所 以 5=45 =1 (mod 4); 

(3) 因为 (5,45) 一 5， 

所 以 1=9 (mod 4); 

(4) 因为 35=315 (mod 5), 

所 以 35=315 (тоа [28,5]) , 即 35==315 (mod 140); 

(5) (35,28) = (315,28) =7, 

【思考 】 

问题 : 一 个 十 进 制 数 ,什么 时 候 能 被 3 整除 ? 

结论 : 当 该 数 各 位 和 为 З 的 倍数 时 。 

如 对 于 2 489 013 ,因为 2 十 4 十 8 十 9 十 0 十 1 一 24， 

因为 3124， 

所 以 31248 901。 

为 什么 上 述 判断 方法 成 立 呢 ? 

相似 地 ,你 能 不 能 给 出 一 个 快速 判断 某 个 数 是 否 能 被 7 整除 的 口诀 ? 
例 2.5 如 果 今 天 是 星期 三 ,请 问 235s 天 后 是 星期 几 ? 

f: 因为 2°=8=1 (mod 7), 

所 以 235678 =g 115 226 =q 115226 =] (mod 7), 

所 以 2245 078 Ја да EA, 

【思考 】 

若 例 2. 5 改 为 : 如 果 现 在 是 早上 11 点 ,2% 小 时 后 是 几 点 ? 解法 是 相似 的 吗 ? 是 否 


出 现 了 新 困难 ? 


你 是 否 能 够 设计 出 一 个 程序 帮助 你 求解 类 似 的 题目 ? 

【你 应 该 知道 的 】 

解决 上 面 问题 的 关键 在 于 : 程序 应 如 何 实现 计算 а“ Стой m)? 

当然 我 们 可 以 重复 地 计算 aXaX… XaXa, 采 用 a*(mod т) = (а! (mod m)) X 


а (mod m) 实 现 , 这 样 需要 计算 x 一 1 次 乘法 ,算法 时 间 复 杂 度 为 O(n) 。 


考虑 另 一 种 方法 ,计算 а? (mod m) REAR Ь=аХа(тоа m), 再 算 c 寺 bXb(mod 


т).Й| c= а* (mod m), 只 用 了 两 次 乘法 ,提高 了 效率 。 


再 如 ,计算 a° (тоа т) =а X (а* (mod mm))X(at(mod т)) (mod m) ,只 需 用 4 次 乘法 。 


一 般 地 ,计算 a" Стоа m) 的 时 间 复 杂 度 为 O(logn)。 


这 种 计算 方法 叫 作 “ 模 重复 平方 法 (Binary Representation, BR)”。 该 算法 计算 a* (тоа 


m) 的 核心 思想 是 : 
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СОНИЙ у 写成 二 进 制 形式 ; 

(2) 从 二 进 制 第 一 位 开始 , 遇 到 1 就 先 平方 再 乘 以 a, 遇 到 0 就 直接 平方 。 

AN a=13,m=41, W] y=a° (mod m) 的 计算 过 程 可 表示 为 : 

(1) 初始 值 у=1; 

(2) 9 写成 二 进 制 第 一 位 为 1, 则 y=y Xa(mod т) 三 13; 

(3) 9 写成 二 进 制 第 二 位 为 0, 则 y=y (mod т) =169= 5; 

(4) 9 写成 二 进 制 第 三 位 为 0, 则 y=y (тоа т) =25; 

(5) 9 写成 二 进 制 第 四 位 为 1, 则 y=y Xa (mod т) =8125= 7. 

Т .13° (тоа 41) =7, 

FH ,y=a" (тоа m) 的 计算 过 程 可 表示 为 

(1) 初始 值 > 一 1; 

(2) 10 写成 二 进 制 第 一 位 为 1, 则 у=у* Xa(mod т) =13; 

G) 10 写成 二 进 制 第 二 位 为 0, 则 y=y (mod т) =169= 5; 

(4) 10 写成 二 进 制 第 三 位 为 1, 则 уу? Ха (mod т) =325=38; 

(5) 10 写成 二 进 制 第 四 位 为 0, 则 y=y (тоа т) =1444=9, 

FELA ,13™ (тоа 41) 三 9。 

【你 应 该 知道 的 】 

(1) 编程 时 , 求 余数 主要 通过 两 个 函数 实现 :“%”( 如 C、C++、C# ‚]ауа 等 ) 和 “mod” 
СШ MATLAB, Excel, VB, ASP, Delphi, VFP 等 ); 

(2) 同 余 是 补 码 、 循 环 队列 、 随 机 数 产 生 、 检 错 码 等 应 用 的 理论 基础 ; 在 密码 学 领域 ,各 
种 算法 都 离 不 开 同 余 。 

【进一步 的 知识 

下 面 以 古老 的 凯撒 密码 为 例 , 介 绍 同 余 在 古典 加 密 方法 中 的 应 用 。 

凯撒 密码 的 得 名 源 于 据说 它 是 在 古 罗 马 时 代 凯 撤 大 帝 为 防止 军事 情报 泄密 而 使 用 过 的 
一 种 简单 的 代替 式 密码 。 在 这 种 方法 中 ,每 个 字母 被 字母 表 中 其 后 的 第 三 个 字母 所 代替 , 例 
如 ,A HUR D.B HR Е. ---. X HUR A, Y 换 成 B.Z 换 成 C, 于 是 ,凯撒 和 你 打招呼 时 会 说 
khoor 而 不 是 hello (当然 ,他 当年 使 用 的 不 是 英语 ), 而 攻击 命令 attack 就 会 被 加 密 成 
dwwfn。 

如 果 用 M 代表 加 密 前 的 文字 (明文 ),C 代表 加 密 后 的 乱码 ( 密 文 ),C; 和 M, 分 别 代 表 第 
i 位 密 文 和 明文 ,加 密 (Encryption) 函数 已 将 明文 转换 为 密 文 , 则 凯撒 密码 的 加 密 过 程 可 用 
数学 方法 表示 为 式 (2-1): 

С, = E(M;) = M; +3 (mod 26) (2-1) 

相应 地 ,凯撒 密码 的 解密 方法 为 各 字母 前 移 三 位 ,解密 (Decryption) 函 数 D 用 数学 方法 

表示 为 式 (2-2): 
М, = D(C;) = С; — 3 (mod 26) (2-2) 

显然 DIE(CM) ) 王 M, 因 此 可 以 把 密 文 正确 还 原 为 明文 。 

当然 式 (2-1) 和 式 (2-2) 中 模 26 是 针对 英文 字母 来 说 ,可 以 根据 不 同 的 使 用 条 件 进行 调 
整 ,如 使 用 ASCII 码 。 那 么 ,你 能 实现 一 个 对 汉字 进行 凯撒 加 密 和 解密 的 程序 吗 ? 

加 密 解 密 可 使 用 加 密 表 直观 表示 : 
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#2= ЕЗ 


明文 ABCDEFGHIJKLMNOPQRSTUVWXYZ 
帘 文 defghiijklmamrnoparstuvwiy ys а Ь с 


此 时 ,这 个 移动 的 位 数 3 被 称 为 加 密 /解密 的 密 钥 (Key)k。 加 密 和 解密 可 以 看 作 字 母 
表 向 前 或 向 后 移动 上 位 ,因此 凯撒 密码 也 称 为 移 位 加 密 法 。 

移 位 加 密 法 的 缺点 是 可 以 通过 分 析 每 个 符号 出 现 的 频率 而 轻易 地 被 破译 。 破 译 的 突破 
口 是 利 用 自然 语言 的 统计 特点 ,在 每 种 语言 中 ,都 有 最 常用 的 单词 和 短语 。 例 如 ,e 是 英语 
中 最 常用 的 字母 ,其 出 现 频率 为 /8。 接 下 来 是 t,o,a 等 ; 最 常用 的 两 个 字母 组 合 是 th,in， 
er 等 ; 最 常用 的 三 个 字母 组 合 是 the,ing 和 ion 等 。 通 过 频率 、 可 能 出 现 的 单词 和 短语 等 猜 
测 就 能 很 容易 地 破解 出 明文 。 这 个 通过 分 析 明 文 、 密 文 等 信息 破译 密码 算法 的 过 程 被 称 为 
密码 分 析 ,最 现代 的 密码 分 析 技 术 也 是 以 古老 的 频率 分 析 法 为 根据 的 。 

例如 , 若 对 凯撒 密 文 进行 频率 分 析 后 表明 : h 出 现 频率 最 大 ,其 次 是 w 和 d, 那 么 ,密码 
分 析 者 就 会 怀疑 ,每 个 密码 字母 代表 着 按 a,b,c 字母 顺序 的 前 三 个 字母 。 然 后 他 会 核实 他 
的 怀疑 是 否 正确 。 预 感 与 猜测 无 疑 是 密码 分 析 的 关键 。 

密 钥 & 的 所 有 可 能 值 的 范围 被 称 为 密 钥 空间 。 显 然 , 上 述 凯 撤 加 密 方法 的 密 钥 空间 为 
26。 密 文 的 保密 性 都 是 基于 对 密 钥 的 保密 ,因此 密 钥 空间 的 大 小 决定 了 密码 算法 的 安全 性 。 

为 了 提高 凯撒 密码 的 安全 性 ,我 们 引入 乘法 , 称 为 仿 射 密码 ,如 式 (2-3) 所 示 。 

С, = E(M;) = aM; +b (mod 26) (2-3) 

其 中 ,a 和 > HRH, CGA M; 分 别 代表 第 ;位 密 文 和 明文 。 

你 能 不 能 回答 下 面 的 问题 : 

(1) 式 (2-3) 对 应 的 解密 公式 应 该 是 什么 呢 ? 

(2) 仿 射 密码 的 密 钥 空 间 有 多 大 ? (提示 : а (тоа 26) 必 须 存在 。) 

(3) 凯撒 密码 、 仿 射 密码 的 加 解密 程序 应 该 如 何 实现 ? 关键 要 点 是 什么 ? 

(4) 你 能 写 出 一 个 简单 的 仿 射 密码 分 析 的 程序 吗 ? 可 以 有 哪些 分 析 方法 ? 能 发 现下 面 
的 密 文 真正 想 要 表达 的 意思 是 什么 吗 ? H a 和 4 是 多 少 ? 

YUMEDQESQGUOQ 

(5) 由 于 简单 的 凯撒 密码 非常 容易 被 破解 ,我 们 决定 将 该 加 密 法 使 用 两 次 ,首先 以 3 为 
密 钥 将 每 个 明文 字母 移 位 生成 密 文 ,然后 用 5 为 密 钥 再 次 对 该 密 文 进行 移 位 加 密 。 这 样 重 
复 加 密 后 是 不 是 就 能 提高 加 密 强 度 , 增 加 破解 难度 ? 

上 面 介 绍 的 凯撒 密码 和 仿 射 密码 都 是 古典 加 密 法 。 古 典 密码 与 现代 密码 的 分 界线 主要 
WF 1883 年 Kerchoffs 第 一 次 明确 提出 了 编码 的 原则 : 系统 的 安全 性 不 依赖 于 对 密 文 或 加 
密 算法 的 保密 ,而 依赖 于 密 钥 。 唯 一 需要 保密 的 是 密 钥 。 

大 多 数 古 典 加 密 法 都 是 在 计算 机 发 明 前 就 已 经 开始 使 用 了 ,目前 在 重要 的 计算 机 应 用 
程序 中 都 建议 不 要 再 使 用 这 些 加 密 法 ,因为 它们 是 不 安全 的 ,基本 已 经 失去 了 独立 使 用 的 价 
值 。 但 是 通过 对 这 些 算法 的 数学 本 质 和 加 密 特 点 进行 研究 ,可 以 更 好 地 理解 当前 主流 现代 
密码 学 的 主要 思想 和 技术 。 

古典 密码 算法 主要 有 以 下 两 大 机 制 。 

(1) 代替 式 密码 : 明文 中 的 每 一 个 字符 被 代替 成 字符 表 中 的 另 一 个 字符 ,形成 密 文 。 

(2) 换 位 式 密码 : 密 文 与 明文 的 字符 保持 相同 ,只 是 变换 了 字符 位 置 。 
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上 面 介 绍 的 凯撒 密码 和 仿 射 密码 都 是 代替 式 密 码 ,你 能 不 能 写 出 一 种 简单 的 换 位 式 密 


码 ? 给 出 你 的 算法 的 加 密 和 解密 公式 ,是 否 能 根据 公式 总 结 出 代替 式 密码 和 换 位 式 密码 的 
相同 之 处 。 


最 后 ,你 能 分 析出 下 面 的 密 文 所 对 应 的 明文 吗 ? 
EAUYOHVVRWTOOKDAYERHR 


2.2 一 次 同 余 方 程 


定义 2.2 一 次 同 余 方程 形 如 : 
ax = b (mod т) (2-4) 


HP ,а.р.тЄ.т2>1.а320 (mod т). 


例 2.6 求解 方程 2z =5 (mod 9), 
解 : zx =7 (mod 9), 


х 0 1 2 3 4 5 6 7 8 


2x (mod 9) 0 2 4 6 8 1 3 5 


例 2.7 求解 方程 17z =4 (mod 19). 

解 : 因为 17 三 一 2 (mod 19), 

所 以 17z =—2х=1 (mod 19). 

所 以 x =—2 (mod 19). 

现在 考虑 更 通用 的 一 元 一 次 同 余 方程 求解 的 方法 。 

首先 ,如 何 判断 方程 是 否 有 解 ? 由 同 余 的 概念 ,az= (mod m) 的 求解 可 以 转换 为 求解 


二 元 一 次 方程 wz 一 my 一 0。 根 据 定理 1.7 可 以 容易 地 推出 一 元 一 次 同 余 方程 有 解 的 条 件 。 


定理 2.2 一 次 同 余 方程 有 解 的 条 件 
一 次 同 余 方程 ar=b (mod m) 有 人 解 的 充 要 条 件 是 (a,m)15。 若 有 和 解 , 解 的 个 数 为 d= 


(a,m) ,它们 是 z =x, Бті/а (mod m),t 二 0,1,…,d 一 1, 其 中 zo 为 方程 的 一 个 特 解 。 


— a 


612.8 求解 方程 15r=4(mod 18). 
解 : 因为 (15,18) 4, 

所 以 此 方程 无 解 。 

例 2.9 求解 方程 17+ 二 4(mod 19). 
解 : 25 19=17+2.17=8х2+1, 
所 以 17X9—19X8=1, 

所 以 (19,17)14， 

所 以 此 方程 有 解 ,有 一 个 解 ; 

所 以 17X9=1Cmod 19), 

所 以 17 < 36=4 (тоа 19). 

所 以 2==36== — 2 (тоа 19). 


例 2.10 求解 方程 123r=12(mod 345). 

解 : 因为 345 王 123X3 一 24,123 一 24X5 十 3,24 一 3X8 十 0， 

所 以 (123,345) 一 3; 

因为 3112， 

所 以 此 方程 有 解 ,有 三 个 解 ; 

因为 3=123—24X5=123—(123X3—345)X5=345X5—123X 14, 

所 以 123X (—14) =3 (mod 345), 

所 以 123X (—14) X4=12(mod 345), 

所 以 zo 三 一 14X4 三 一 56 (mod 345) Ф). 

所 以 x 三 zo 十 345k/3(mod 345), 即 x 三 一 56 十 115k(mod 345) ,& 一 0,1,2( 通 解 ) , 
所 以 zx=59 174 289 (mod 345)。 

可 以 使 用 逆 元 得 到 上 述 方程 的 另 一 种 解法 。 

定义 2.3 首 元 

#7 т.аЄ 7, т50.(а.т) =1, И] {ЕҢ — а EZ {#{% 

ш а = 1 (mod m) (2-5) 


"T жы яш 
Жа Жа т EHIC. 

证 明 : (存在 性 ) 因 为 (ozz) 一 1， 

所 以 3z,yEZ, 使 cz 十 my 一 1， 

所 以 令 o =x 有 aa ! 三 a a=] (mod т). 

(唯一 性 ) 若 ry EZ 23у (mod т), В ат=ха=1 (mod m) 和 ay 三 ya 三 

1 (тоа m) 成 立 , 则 有 zx 三 x(ay) 三 (zxa) у=у (mod m), F JÄ. 
所 以 а ЕЕ. WEE. 
【请 你 注意 】 
(1) а т WA a ! 的 唯一 性 是 在 模 m 的 意义 下 。 若 z+ 是 a 模 m 的 逆 元 , 则 x 十 km 
均 是 a т 9070. а т 的 逆 元 通常 记 为 ae- (mod т). 

(2) #(а.т) #1, W] a` (mod m) 不 存在 。 

(3) 从 定理 的 证 明 中 可 以 看 出 ,利用 扩展 欧 几 里 得 算法 得 到 最 大 公约 数 的 线性 表达 ,可 
以 方便 地 求 出 整数 a 模 m оба (тоа m). 

例 2.11 求 5 模 11 的 逆 元 。 

解 ; 因为 11 一 5X2 十 1， 

所 以 5X2 三 一 1(mod 11) , 即 5X( 一 2) =1(mod 11). 

所 以 5-:(mod 11) =— 2., 

例 2.12 求 233 模 1211 的 逆 元 。 

解 : 因为 1211 一 233X5 十 46 1 一 (1211 一 233X5)X76 一 233X15 一 1211X76 一 233X395， 
233 二 46X5 十 3 1 一 46 一 (233 一 46X5)X15 王 46X76 一 233X15， 
46=3X15+1 1=46—3X15, 

所 以 2337 (тоа 1211) =— 395., 

例 2.13 求解 方程 17z=4(mod 19), 

解 : 因为 19 一 17 十 2,17 一 8X2 十 1， 


25 上 一 


所 以 17X9 一 19X8=1， 

因为 (19,17)14， 

所 以 此 方程 有 解 ， 

所 以 17-:(mod 19) =9, 

所 以 х=4Х9==36==—2 (mod 19), 

例 2.14 求解 方程 312х =345(mod 753). 

f: 753 王 312X2 十 129,312 一 129X2 十 54,129 一 54X2 十 21,54 一 21X3 一 9,21 一 9X2 十 3， 
所 以 (753,312) 一 31345， 

所 以 此 方程 有 解 ,解数 为 3。 

因为 3 一 21 一 9X2,3 一 21 一 (21X3 一 54)X2 一 54X2 一 21X5， 
3 一 54X2 一 (129 一 54X2)X5 一 54X12 一 129X5， 

3 一 (312 一 129X2)X12 一 129X5 一 312X12 一 129X29， 

3 一 312X12 一 (753 一 312X2)X29 一 312X70 一 753X29， 
(法 一 ) 所 以 312X70 (mod 753) =3, 

所 以 222345 /3 Х70=8050=520 (mod 753) 

所 以 £ =520+ 753k/3=520+ 251k (mod 753) k=0,1,2。 
(法 二 ) 方 程 可 化 简 为 104z =115(mod 251), 

因为 1=104X70—251X29, 

所 以 104! (тоа 251) =70, 

所 以 х=115  70==8050==18 (mod 251). 

【思考 】 

例 2. 14 用 两 种 方法 得 出 两 个 看 起 来 不 同 的 解 ,是 计算 出 错 了 还 是 它们 其 实 是 相同 
的 解 ? 


x =520+ 2514 (mod 753),k=0,1,2 和 xz =18 (mod 251) 


2.3 剩余 类 与 剩余 系 


同 余 是 一 种 等 价 关系 ,因此 可 以 借助 同 余 关系 实现 对 整数 集合 的 划分 ,形成 剩余 类 。 

定义 2.4 剩余 类 

设 mEZ+,VaEZ, 令 Ca=( r|r=a (mod т)). WEK Ca 为 模 m 的 一 个 剩余 类 , 记 作 
а (mod m), Са 中 的 任 一 个 数 叫 作 Ca 的 代表 元 (Ca )。 

【请 你 注意 】 

(1) 剩余 类 是 一 个 集合 ,如 1 (mod 4)=={…, 一 11, 一 7, 一 3,1,5,9,…}), 可 以 用 集合 中 
的 任 一 个 元 素 代表 该 剩余 类 ,因此 一 11 (mod 4) =1 (mod 4)=5 (mod 4) ,但 通常 使 用 最 小 
正 整 数 或 绝对 值 最 小 的 整数 来 代表 这 个 剩余 类 。 

(2) 显然 ,Ca 是 一 个 非 空 集合 ,因为 一 定 有 a€ Ca。 

(3) 任 一 个 整数 一 定 属于 模 m 的 某 一 个 剩余 类 。 

(4) 对 于 模 m 的 两 个 剩余 类 Са #1 СЬ. Ж А Са= СЬ. А Cam cb =Ø., 

(5) Ж т 的 两 两 不 同 的 剩余 类 有 m 个 。 
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(6) 同 余 方程 的 解 就 是 一 个 或 几 个 剩余 类 。 

例 2.15 请 将 剩余 类 18 (mod 251) 写 成 模 753 的 剩余 类 。 

解 : 因为 753 一 251X3， 

所 以 18 (тоа 251) =18+ 251k (mod 753) k=0,1,2, 

即 18 (тоа 251) ==18 269 520 (mod 753). 

定义 2.5 剩余 系 

设 mEZVT ,车 rosris…… ,1-1 为 m 个 整数 ,并 且 两 两 模 m 不 同 余 , 则 ,ri ,… srn- IE 
Ж m 的 一 个 完全 剩余 系 。 一 个 完全 剩余 系 中 ,与 m 互 质 的 整数 的 个 数 叫 作 欧 拉 函 数 , 记 作 
9 (m)。 这 9 (т) 5 m 互 质 的 整数 组 成 模 m 的 一 个 简化 剩余 系 。 

【你 应 该 知道 的 】 

完全 剩余 系 简称 完 系 ,简化 剩余 系 又 称 紧缩 剩余 系 或 既 约 剩余 系 ,简称 缩 系 。 

例 2.16 写 出 模 9 的 完 系 。 

解 : 0,1,2,3,4,5,6,7,8 是 模 9 的 一 个 完 系 ; 

1,2,3,4,5,6,7,8,9 是 模 9 的 一 个 完 系 ; 

一 4, 一 3, 一 2, 一 1,0,1,2,3,4 是 模 9 的 一 个 完 系 ; 

8, 一 7, 一 6, 一 5, 一 4, 一 3, 一 2, 一 1,0 是 模 9 的 一 个 完 系 ; 
1,3,5,7,9,11,13,15,17 是 模 9 的 一 个 奇数 完 系 ; 
0,2,4,6,8,10,12,14,16 是 模 9 的 一 个 偶数 完 系 ; 

例 2.17 写 出 模 9 的 缩 系 。 

解 : 1,2,4,5,7,8 是 模 9 的 一 个 缩 系 。 

一 1, 一 2, 一 4,1,2,4 ÆR 9 的 一 个 缩 系 。 
1,5,7,11,13,17 是 模 9 的 一 个 奇数 缩 系 。 
2,4,8,10,14,16 是 模 9 的 一 个 偶数 缩 系 。 

Ж 9 的 一 个 缩 系 有 6 个 整数 ,因此 , 模 9 的 欧 拉 函 数 P(9) 一 6。 
【思考 】 

你 能 不 能 类 似 地 写 出 模 10 的 一 个 偶 ( 奇 ) 数 的 完 ( 缩 ) 系 ? 

例 2.18 求证 : м.м. HIR m 的 一 个 完 系 , 则 


ml 0Cmod m) т = 2k+1 
"е kez 
і=0 m/2(mod т) т = 2k 


m-l 
证 明 : 因为 >)r 三 1 十 2 十 … 十 m 三 mm 十 1)/2(mod m), 
= 


m-l 
РФ: m=2k+1. 0] У) = т +1) =0(mod m) k€ 2+. 
名 


т—1 
Ят m=2k, W] У)», =k(m+1) =k = т/2 (тоат) AGE Zt :证 毕 。 
izo 


B) 2.19 B mEZ,m>2. WEH: # m 的 最 小 正 简化 剩余 系 的 各 数 之 和 等 于 mg(m)/2。 
证 明 : AH т.аЄ7*.т:>2.Ш(т.а)=1 ©(т.т—а)=1 
ВТО а Є[1.т/2). (т.а:) =1. 0] т-а: Є Cm/2,m 一 1j], (msm—ai)=1 
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所 以 a; 和 m 一 a; 组 成 模 m 的 最 小 正 简化 剩余 系 , 共 фт) /2 对 ,和 为 mg(m)/2。 
证 毕 。 
【你 应 该 知道 的 】 
当 mEZ+ ,m2 时 ,p(z) =0 (mod 2) , 即 (zz) 是 偶数 。 
定理 2.3 设 YVmEZ+ ,т2 2,пЄ 2. (т.п) =1. 
(1) Має 2,2 遍历 模 m 的 一 个 完 系 , 则 nz 十 a {И т 的 一 个 完 系 ; 
(2) х ЛЖ т 的 一 个 缩 系 , 则 nz АШЫР т 的 一 个 缩 系 。 
证 明 : (1) 因为 x 遍历 mm 的 一 个 完 系 , 则 zx 有 m 个 模 两 两 不 同 余 的 整数 ， 
所 以 只 需 证 明 nz 十 a 3Х т 个 整数 模 m 两 两 不 同 余 ， 
所 以 不 妨 设 3 zi ,zzEZ, 满 足 nz 十 4a 三 nzxs 十 a (mod m), 
所 以 п(ху—х;) =0 (тоа m), 
因为 (Gx,n) 二 1, 所 以 ху—х»=0 (mod т). х, =2; (тоа т). 
所 以 只 要 zi ,zz 模 m KAR nz, Hanz: Ба Ж т 也 不 同 余 ， 
БТ х Л т 的 一 个 完 系 ,nz 十 a 也 遍历 模 m 的 一 个 完 系 。 证 毕 。 
(2) 因为 x Wm 的 一 个 缩 系 ， 
所 以 z+ 有 gCm) 个 模 m 两 两 不 同 余 的 整数 , 且 (m,z) 一 1， 
因为 (my7) 一 1, 所 以 (mrz) 一 1， 
所 以 xz 属于 模 m 的 缩 系 , 则 只 需 证 明 这 фот) ВСЯ m 两 两 不 同 余 ， 
所 以 不 妨 设 3x x EZ WE плху=пх,(тоа т)= n(x 一 xs) 三 0 (mod m) 
因为 Gs) 二 1;, 所 以 zi 一 x2 三 0 (mod m) BI 2 =2, (тоа т) 
所 以 只 要 zi ,zs 模 m 不同 余 ,nziwnzz 模 mm 也 不 同 余 ， 
所 以 z+ 遍历 模 m 的 一 个 缩 系 ,nz 也 遍历 模 m 的 一 个 缩 系 。 证 毕 。 
例 2.20 请 计算 2° тоа 7)。 
解 : (法 一 )2' (mod 7) =8=1°=] (mod 7). 
(法 二 ) 因 为 (2,7) 二 1, 所 以 zx 遍历 模 7 的 一 个 缩 系 , 则 2z 也 遍历 。 
В. 2X1=2,2X2=4,2X 3 三 6,2X4 三 1,2X5 三 3,2X 6 三 5 (mod 7), 
将 同 余 式 左右 对 应 相 乘 得 到 : 
(2X1)X(2X2)X(2X3)X(2X4)X(2X5)X(2X6)=2X4X6X1X3X5 (mod 7), 
Вр 2° <61==6! (mod 7), 


因为 (61.7) 一 1， 

所 以 2=1(mod 7). 

【请 你 注意 】 

例 2. 20 的 法 二 是 证 明 欧 拉 定 理 成 立 的 重要 思路 ,在 2.4 节 中 将 详细 分 析 。 


定理 2.4 BRVYmm EZ, m> 2,(т\у,т»)=1: 

(1) zyzz 分 别 遍 历 模 m om WER. W тул; +m MR тут, 56 < 5 

(2) zi ,x2 分别 遍历 模 m ,ms 的 缩 系 , 则 ma тосу Ў 7 т т. ЧАН Ж. 

证 明 : (1) 因为 zi ,zz 分 别 遍 历 模 mi ,ms 的 完 系 , 所 以 түл, tma H mm PER, 
所 以 不 妨 设 а. уу: EZE: m r: тәл =m; y: + m yı (mod тут). 
所 以 mix: тәх =m; yz + ту (mod mı), 


所 以 тәх =m: yı (mod ту). 
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因为 Gm ьт) =1. 

FELI xı= yı (mod mı), 

FH ,r:=y: (mod m), BMRA: У rı =y (mod т.) H. r:=y: (mod ms) 时 ， 
туло Hm: xı =m; уз + m yı (mod mı m) 

因此 定理 成 立 。 

(2) 首先 证 明 若 (zi оту) 1. (о от) = 1. W COn r: +mzısmm:)=1, 

因为 Gm ,my ) 一 1， 


ВМИ (тухә-Ет»ху,ту)=(т»ху,ту)=С(ху,ту)=1, 


(тух; +т,әху,т;)=(тух;,т„)=\(х;,т„)=1, 


FELA (тух ++ тзху,тут)=1. 
接着 证 明 模 mm; 的 任意 简化 剩余 均 可 以 表示 为 түл» tma, 
因为 模 mm 的 任意 剩余 均 可 以 表示 为 тула тола + 

(тул; mx, smm:)=1 时 ， 

(ху ,ту) = (тоту, ту) = (тух +т„»ху,ту)=1, 

同 理 ,(zs ,zz ) 一 1。 因 此 定理 成 立 。 

例 2.21 请 写 出 模 264 的 简化 剩余 系 。 

解 : 因为 264 一 22X3X11, 所 以 模 8 的 缩 系 为 1,3,5,7; 模 3 的 缩 系 为 1,2; 模 11 的 缩 
系 为 1,2,3,*…,9,10; 

所 以 模 24 的 简化 剩余 系 为 3a 十 86, 其 中 4 二 1,3,5,7; 0 一 1,2; 共 8 个 整数 ; 

所 以 模 264 的 简化 剩余 系 为 11X (3a 十 85) 十 24Xc, 其 中 c==1,2,3,…,9,10; 

即 模 264 的 简化 剩余 系 有 80 个 整数 ,分 别 为 : 

1,5.7,13.17.19,23,25,29,31.35.37. 

41,43,47,49,53,59,61,65.67.71.73.79. 

83.85 ,89,91.95,97,101.103.107.109.113.115. 

119,125,.127,131.133.137.139,145,149,151,155,157, 

161,163,.167,169,173.175.179,181.185,.191.193.197, 

199,203,205,211,215,217,221,223,227,229,233,235, 

239,241,245.247,251.257.259,263. 

可 以 看 出 : 4 р ARAH. op) =р— 1; #4 CARR. m= pq om) = ф(рд) = 
Фф(р)Ф(4) =(р— 1) (4—1). 

推论 2.1 ҮУљ,„Є2. (т.п) = 1.0] фтп) =ф(т) n). 

例 2.22 请 计算 pg(77)。 

解 : Ф(77) = ф(7)ф(11) =6 х 10=60. 

例 2.23 请 计算 0105). 

解 : P(105) 一 p(3)p(5)p(7) 一 2X4X6 一 48。 

【思考 】 

ф(100) = ф(4) Ф(25) =? 

解决 问题 的 关键 在 于 计算 фр") Ср 为 素数 ,为 正 整 数 ) 。 当 疡 一 如 时 , 它 的 缩 系 元 素 
是 什么 呢 ? 在 一 个 完 系 0,1,…:m 一 1 这 疡 个 整数 中 , 若 z 为 非 缩 系 元 素 , 则 pln, x), Вр 
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ZX 二 kp,kEZ,0<kZp"! 一 1, 一 共有 р" 11. [ИҢ ,ф (р") = р" — р"! Ф(4) =2° — 
2=2, 0,0100) = ф(4) (25) = (22 —2) X (5 —5) =40. 
定理 2.5 计算 欧 拉 函数 


设 wEZ+ n> 2,n 有 整数 标准 分 解 式 ， 一 [I рг. 
k=1 


pars Шо? ра) = “ШП +) (2-6) 

其 中 , 灸 是 两 两 不 同 的 素数 ,weEZ+ AKS, ks EZ). 

例 2.24 请 计算 pg(264)。 

解 : p(264) 一 p(23X3X11) 一 p(23) Хф(3)Хф(11)=(8—4)х(3—1)Х(11—1)=4Х 
2X10=80。 

【不 妨 一 试 】 

如 同 计算 最 大 公约 数 , 计 算 欧 拉 函 数 也 是 解 方程 的 一 个 很 重要 的 步骤 ,你 能 根据 定 
理 2.5 的 公式 ,设计 一 个 求 任意 整数 的 欧 拉 函数 的 程序 吗 ? 

【进一步 的 知识 〗 完 系 的 分 类 

我 们 已 经 学 习 过 各 种 将 整数 进行 分 类 的 方法 ,如 按照 模 2 的 余数 将 整数 分 为 奇数 和 偶 
Ж; 按照 是 否 除 了 1 和 自身 外 还 有 其 他 因子 将 整数 分 为 素数 、 合 数 和 1; 按照 模 m 的 余数 将 
整数 分 为 不 同 剩余 类 ,用 代表 元 表示 每 一 剩余 类 组 成 模 m 的 完 系 。 那 么 能 不 能 将 完 系 进行 
进一步 细 分 ? 

下 面 按照 (z,24) 将 模 24 的 完 系 细 分 , 设 zxE[0,23]。 

因为 (x,24)124, 所 以 (zx,24) 可 能 取 值 有 8 个 : 1,2,3,4,6,8,12,24, 

Q) #(х.24)=1.ЙЙх=1,5,7,11,13,17,19,23,— 8(24) 一 p(3) Xp(8) 一 2X(8 一 
4) 一 8 个 ; 

(2) #(х,24)=2.,И(х/2,12)=1,Й х=2,10,14,22,—3& р(12)=ф(3)Хф(4)=2Х 
2=4 +; 

(3) #(х,24)=3.Ё(х/3,8)=1,| х=3,9,15,21,—Ж ф(8)=8—4=4 1; 

(4) 若 (z,24) 一 4, 即 (z/4,6) 一 1, 则 z 一 4.20, 一 共 9(6) 一 p(2)Xp(3) 一 1X2 一 2 个 ; 

(5) 若 (z,24) 王 6, 即 (z/6,4) 一 1, 则 z 一 6.18, 一 共 9p(4) 一 4 一 2 一 2 个 ; 

(6) 若 (z,24) 一 8, 即 (z/8,3) 王 1, 则 х=8,16,— ф(3)=2 4°; 

(7) 若 (z,24) 王 12, 即 (z/12,2) 王 1, 则 z 一 12, 一 共 (2) 一 1 个; 

(8) 若 (z,24) 一 24, 即 (z/24,1) 一 1, 则 z 一 24, 一 共 ф(1)=1 1°, 

可 以 推出 进一步 的 结论 : 

A) (z,24) 二 k 时 的 xz 取 值 有 pC24/&) 个 ,其 中 ,k|124; 

(2) Vn€E z, У) gd) 一 mp() 一 1。 


dimd>0 


定理 2.6 Wilson RENEM 
设 p 为 素数 , 则 (p 一 1) ! =— 1 (mod p) (2-7) 
证 明 : (1) 车 p 二 2, 结论 显然 成 立 ; 
(2) #р;>?.р 为 素数 , 则 Va,p 一 1 宇 a 宇 1, 都 有 (a,p) 一 1, 则 存在 唯一 整数 a1， 
p—l>a 21.1848: аа !=1 (mod р). 
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№ а=а 'Sa°=a a '=Œ1 (mod р) Sa 一 1 或 a=p 一 1， 

即 在 [1,p 一 1] 这 p 一 1 个 数 中 ,1 与 p 一 1 的 逆 元 是 自身 ,其 余数 字 两 两 互 道 ， 
所 以 (p 一 1) ! =1X (p—1) Хаа!) =1Х(р—1) =—1 (mod р). ШЕФ, 
推论 2.2 zp 为 素数 伟 pE2ZV',p 宇 2,(p 一 1) ! =—1 (mod р) 

证 明 : (=>): 根据 Wilson 定理 ,显然 成 立 ; 

(S): (MERE р 为 合 数 , 则 设 p=ab,a bE Z,a, b> 2， 

则 (2 一 1) ! =(ab—1) ! =—1 (mod ab), 

Wj Cab—1) ! =—1 (тойа), 

因为 a 过 ab 一 1, 所 以 al(ab 一 1) !, 所 以 (ab 一 1) ! =0 (mod a) ,矛盾 ， 
所 以 (p 一 1) ! =—1 (mod p) 成 立时 р 一 定 为 素数 。 证 毕 。 

例 2.25 请 计算 1?X3:X5:X7?X9?(mod 11)。 

解 : 原 式 寺 1X (一 10)X3X( 一 8)X5X( 一 6)X7X( 一 4)X9Xx( 一 2) 二 (一 1)s X 


10! =(—1)X(—1)=1 (mod 11), 


推论 2.3 设 p 为 奇 素数 , 则 1X3 X- (р 2) (mod р) =—19, 
例 2.26 请 计算 5!Х5! (mod 11), 
Ш. AR=1X2X3X4X5X(—6)X(—7)X(—8)X(—9)X(—10)=(—1) X 


10! =(—1)X(—1)=1 (mod 11), 


推论 2.4 Шр. H р=1 (mod 4). M ([ (p 一 1)/2 ] !)#=1(то4 р). 
这 是 解 一 元 二 次 同 余 方程 的 重要 定理 。 若 p=3 (mod 4) 呢 ? 


2.4 欧 拉 定 理 与 费 马 小 定理 


定理 2.7 欧 拉 (Euler) 定 理 
В mEZ*, m> 2, YaEZ,(m,a)=1,# а" =1 (mod m). 
证 明 : 设 bo sbi s**t ,bxm-1 是 模 т 的 一 个 缩 系 ,aeEZ,(m,a) 王 1, 根 据 定理 2. 3, abs 


,sabyw-1 也 是 模 m 的 一 个 缩 系 ， 


所 以 abo X abı X… Хаб 
В. ar™ Xbo Xb X= X bym-1=bo Xb X= Ху. (mod т), 

因为 (bo Xb X X bpm- 1m) =1, FFL а =1 (mod т). Е. 

【请 你 注意 】 

PER D=O FREE 2" =1 (тоа 7) 成 立 的 最 小 正 整数 ,这 是 因为 2 二 1(mod 7). 
定理 2.8 费 马 (Fermat) 小 定理 

设 p 是 素数 , 则 Va€E€Z 有 : а*=а (mod р). 

证 明 : (1) 若 (a,p) 一 1, 则 根据 定理 2.7( 欧 拉 定 理 ) : а? =a ==] (mod p), 

所 以 а?=а (mod p); 

(2) la. p)=p. AH а=0 (mod р). а?=а=0 (mod p); 

定理 成 立 。 证 毕 。 

【你 应 该 知道 的 】 

费 马 小 定理 是 概率 性 素性 测试 的 基石 。 


Xb X + Ьу (тоа т), 
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例 2.27 请 计算 31 (mod 47). 
解 : 因为 p(47) 一 46,1 000 000 (mod 46) =6, 
ВТ 31 90000 (поа 47) =3° ==81 х 9== —13 х9 117 =24(mod 47). 
Ф] 2.28 请 化 简 115zs 十 278zs 十 12 (тоа 7). 
M: 20321 — 21° —2 三 3 一 2 一 2 ==х*—2 (шоа 7). 
例 2.29 求证 : 3në+5n? +7n=0 (mod 15). 
证 明 : 因为 30*=0.5л#*=2п.7п=п (mod 3), 所 以 Зл? +5n? +71n=3n =0 (mod 3); 
因为 Зл? =3п.5п? =0,7п=2п (mod 5), 所 以 35 十 523 十 72=57 =0 (mod 5); 
所 以 Зп? +5n? +7n=0 (тоа 15)。 证 毕 。 
例 2.30 КЕ. 9719: —1 能 被 105 整除 。 
证 明 : 即 需 要 证 97'°*== 1(mod 105), 
(法 一 ) 因 为 (97,105) 王 1, 又 因为 105 王 3X5X7, 所 以 p(105) 一 2X4X6 一 48， 
所 以 97 = 97582+8 =0978==(—8)8==128° X 8 三 4X79 =316=1 (mod 105), 
(法 二 ) 设 х==97!# (mod 105). 105=3 х5 х7, 
所 以 x=97" (mod 3).х==97!°*(тпой 5) ,2==97'* (той 7), 
所 以 r=1'* =] (mod 3), 2==2° =1 (тоа 5) ,zx 三 (一 1)* 二 1(mod 7), 
所 以 х==1(то4 105)。 
【思考 】 
Ў аєЄ7.а' 三 a (mod 63) 成 立 吗 ? 
推论 2.5 Ш mEZt, m> ?2,aEZ,(m.a)=1, i] ax=b (mod m) 的 解 为 : 
x = ba®™™ (mod т) (2-8) 
B] 2.31 求解 7z =13(mod 19). 
解 : 因为 (7,19) 一 1, 所 以 方程 有 解 ,因为 pA9=18, L x =13X7-=13X7" (mod 19), 
HH 7?=—8 (mod 19),8?=7 (mod 19), 
所 以 22213 X7 X 8°=13 X 77=13X7X 8 =13X 77 =(—6) X (—8)=48=10 (mod 19), 
当然 ,可 以 直接 使 用 模 重 复 平方 法 计算 出 77 (mod 19): 因为 17=10 001;, 
FELA x =13X7=13 X (((72)?)?)? X7=13 X (((—8)?)?)? X7 
=13 ((7)°)° Х7=13х(—8) х7 
137 Х7=13х(—8) 104 =10 (mod 19). 
【你 应 该 知道 的 】 RSA 公 钥 密码 机 制 
欧 拉 定 理 和 费 马 小 定理 在 密码 学 领域 最 典型 .最 重要 的 应 用 就 是 RSA 公 钥 加 密 算法 。 
在 前 面 介 绍 的 密码 算法 (如 凯撒 密码 ) 中 ,只 有 一 个 密 钥 &( 如 移 位 位 数 的 人 一 3) ,这 个 密 


钥 既 用 于 加 密 , 也 用 于 解密 。 加 密 和 解密 使 用 同一 种 算法 ,加 密 密 钥 和 解密 密 钥 相同 的 密码 
技术 称 为 “对 称 加 密 技术 ”。 


这 看 起 来 是 符合 人 们 日 常 行为 习惯 的 ,但 问题 是 这 种 方式 有 一 个 最 大 的 弱点 : 发 送 方 


A 必须 把 密 钥 & 告诉 接收 方 B, 否 则 接收 方 B 无 法 解密 。 


由 于 A 和 B 使 用 同一 个 密 钥 ,因此 双方 首先 要 就 使 用 的 密 钥 达成 一 致 ,也 就 是 说 在 加 


密 前 首先 要 传递 密 钥 ,而 此 时 加 密 过 程 还 没有 开始 ,是 不 能 够 对 密 钥 进行 加 密 的 ,如 果 密 铀 
被 恶意 第 三 方 截获 就 会 造成 后 面 的 加 密 数据 的 泄密 。 因 此 ,如 何 产生 满足 保密 要 求 的 密 钥 ， 
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如 何 安全 可靠 地 传递 密 钥 是 一 个 复杂 的 问题 。 

同时 ,如果 一 个 用 户 要 与 其 他 N 个 用 户 进行 加 密 通 信 , 每 一 个 用 户 对 应 一 把 密 钥 , 那 么 
他 就 需要 维护 N 把 密 钥 。 当 网 络 中 有 N 个 用 户 需要 相互 进行 加 密 通信 时 , 则 至 少 需要 
NX (N 一 1) 个 密 钥 才能 保证 任意 双方 之 间 能 够 进行 通信 。 

密 钥 管理 涉及 密 钥 的 产生 分配、 存储 和 销毁 ,无 论 加 密 系统 多 么 强大 ,如 果 攻 击 者 能 够 
窃取 密 钥 ,系统 就 没有 价值 了 。 如 果 设 计 了 一 个 很 好 的 加 密 算 法 ,但 是 密 钥 管理 问题 处 理 不 
好 ,那么 这 样 的 系统 同样 是 不 安全 的 。 

1976 年 ,两 位 美国 斯 坦 福 大 学 的 研究 人 员 Whitfield Diffie 和 Martin Hellman 提出 了 
一 种 轨 新 构思 ,可 以 在 不 直接 传递 加 密 密 钥 的 情况 下 ,完成 解密 ,被 称 为 “Diffie-Hellman 密 
钥 交换 算法 ”。 这 个 算法 启发 了 其 他 科学 家 ,让 他 们 认识 到 ,加 密 和 解密 可 以 使 用 不 同 的 密 
钥 , 只 要 他 们 存在 计算 上 的 对 应 关系 即 可 。 这 样 ,就 可 以 将 加 密 密 钥 公开 ,每 把 加 密 密 钥 都 
存在 对 应 的 解密 密 钥 ,但 通过 加 密 密 钥 推导 出 解密 密 钥 在 计算 上 是 不 可 行 的 ,这 就 避免 了 密 
钥 的 保存 和 传递 问题 。 这 种 新 的 加 密 模式 被 称 为 “ 非 对 称 加 密 技 术 ”, 又 称 为 “ 公 钥 密码 技 
术 ”, 其 模式 如 下 。 

(1) A 产生 两 把 密 钥 ( 公 钥 和 私 钥 )。 公 钥 是 公开 的 ( 放 在 一 个 公开 可 读 的 文件 中 ,任何 
人 都 可 以 获得 ) , 私 钥 则 是 保密 的 。 

(2) A 获取 B 的 公 钥 ,使 用 其 公 钥 进行 加 密 , 将 加 密 后 的 结果 发 送 给 B。 

(3) В 收 到 加 密 后 的 信息 ,用 自己 的 私 钥 解 密 。 

除了 B, 任 何人 都 不 会 知道 其 私 钥 , 所 以 都 不 能 对 发 给 B 的 密 文 进行 解密 ,因此 A 和 B 
之 间 可 以 进行 安全 通信 。 

男 一 方面 ,网 络 中 N 个 用 户 之 间 进 行 加 密 通信 时 ,系统 只 需 维护 N 个 公开 密 钥 ,每 人 
维护 自己 的 私 钥 , 从 而 可 以 大 大 减少 密 钥 的 维护 成 本 。 密 钥 对 的 生成 一 般 是 使 用 一 个 密 钥 
分 发 中 心 统一 进行 分 配 和 管理 。 

1977 年 ,三 位 数学 家 Rivest、Shamir 和 Adleman 设计 了 一 种 算法 ,可 以 实现 非 对 称 加 
密 。 这 种 算法 用 他 们 三 个 人 的 名 字 命名 , 叫 作 RSA 算法 。 到 目前 为 止 ,RSA 算法 一 直 是 最 
广 为 使 用 的 “ 非 对 称 加 密 算法 ”之 一 。 毫 不 夸张 地 说 ,只 要 有 计算 机 网 络 的 地 方 ,就 有 RSA 
算法 。 它 被 认为 是 目前 为 止 理论 上 最 为 成 熟 的 一 种 公 钥 密码 体制 ,其 安全 性 依赖 于 大 整数 
的 因子 分 解难 题 : 寻找 一 个 大 素数 是 相对 容易 的 ,但 是 将 两 个 大 素数 的 乘积 分 解 成 原来 的 
两 个 素数 是 极其 困难 的 。 但 是 ,并 没有 从 理论 证 明 破译 RSA 的 难度 与 大 整数 因子 分 解难 度 
等 价 。 

RSA 密码 机 制 如 下 。 

(1) 选择 两 个 大 素数 p MaR n=pXq W о(л)=(р—1)Х(4—1); 

(2) 随机 选择 整数 e, fE Ое фп). Сф(п) ,e) 一 1, 计 算 4 ,使 d=e (той Ф(п)); 

(3) Elem ERAH: (ап) ,保密 ; Н р Alq: 

(4) 加 密 变换 函数 : c=E(m)=m (mod n); 

(5) 解密 变换 函数 : та (с) =“ (той п). 

其 中 ,用 m 表示 明文 ,用 c 表示 密 文 (1 二 m,c<=n)。 

可 以 应 用 欧 拉 定理 证 明 上 述 算法 的 正确 性 ,证 明 密 文 解密 后 能 正确 还 原 出 明文 , 即 要 证 
明 (1) 一 (4) 都 满足 的 条 件 下 ,(5) 成 立 。 
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安全 数学 基础 


证 明 : 因为 с=т (mod n), Т с=т“ тоа n), AX 1<т.с<п. 

所 以 (1) 34 (т.п) =1 时 ,因为 ае=1 тоа ф(л)). 

所 以 根据 欧 拉 定理 ,c 圭 m* 寺 m4? 二 m (mod n); 

(2) 当 (m,n) 关 1 时 ,因为 n 二 pXg, 所 以 (m,n) 二 p 或 (m,n) 王 g， 

Ж (т.п) = р. В т==0 (тоа p) ,此 时 (m,g) 二 1， 

因为 de=1(mod gp(n)), 所 以 de =1(mod (p 一 1)(g 一 1))， 

所 以 de=1 (mod (p—1)),de=1+k(p—1)=kp+1—k, 

所 以 根据 费 马 小 定理 ,cx 三 md 三 mi Xm =m 1 (тоа р). 

所 以 de=1(mod (dg 一 1)) ,所 以 de =1(тоа p(q))， 

ЛЕ КОЕ А. с=т“ (mod q) =m (mod q), 

所 以 “= (mod п); 证 毕 。 

【请 你 注意 】 

在 实际 加 密 中 , 常 假设 (m,z) 一 1, 和 否则 ,很 容易 计算 出 9 р 的 值 ,从 而 实现 密码 破解 。 
容易 发 现 , 当 = 一 pa,g Mp 为 素数 时 ,m Mn 不 互 素 的 概率 为 (p 十 gq)/n 二 (p 十 gq)/pgq 二 


1/p 十 1/q。 要 实现 此 概率 最 大 化 ,在 n 的 位 数 一 定 (如 1024b) 的 前 提 下 ,p 和 g 应 取 接 近 的 
质数 。 


男 一 方面 ,p 和 g 的 差 必须 足够 大 ,否则 如 果 p 和 g 非常 接近 ,分 解 n 会 变 得 容易 。 如 


n=245 009, 根 据 公式 23) (25%) ия ра=п 有 : 
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VnF I =494. 9848, /л-Е2* =494. 9879, VnF 3? 一 494. 9929, Vnt4 =495, 
好 4-495 
因此 ， „Вр p=499,g=491。 
294 
2 
显然 ,1p 一 q| 越 大 ,使 用 上 述 方法 进行 整数 分 解 越 困 难 。 
例 2.32 请 用 RSA 密码 算法 加 密 字母 A 并 解密 。 取 р=23.д=47.е=3„ 
解 : (1) AX n=pXq=23X47=1081, FV p(n)==(p 一 1) Xx (4—1) =1012. 
因为 1012 王 3X337 十 1, 所 以 d=—337=675(mod 1012), 
所 以 公 钥 (3,1081) , 私 钥 (675,1081) 。 
(2) 因为 A 的 ASCI 码 为 65, 所 以 六 一 65， 
所 以 加 密 : c=65° (mod 1081) 三 51, 即 “A” 加 密 变 成 “3”。 
(3) 解密 : m=51 (mod 1081) 
(法 一 ): 利用 模 重 复 平 方法 m=65 (mod 1081). 
GEZ): m=51°5 (mod 23) ==(464-5)2230+15 ==515==5 257525 Х97==—4, 
т==51°% (mod 47) =(47+4)#*+%1+=2%#+=2!6—=21%—=1]8, 
所 以 т= 235 —4= 4714-18. Вр 235 —47:=22, 1%: 
5 一 一 44 十 47&,t 一 一 22 一 23&, 代 人 得 : 
m=—1012+1081k—4=—1016+1081k 
因为 1 二 mm<1081, 所 以 取 & 一 1, 得 一 65, 即 “3 解密 变 成 “<A?。 


%ж2 = ШЕУ 


实际 上 法 二 的 求解 可 以 利用 2. 5 节 中 的 孙子 定理 实现 。 

【不 妨 一 试 】 

你 能 设计 实现 一 个 能 进行 RSA 加 密 解 密 的 程序 吗 ? 在 程序 实现 中 请 注意 : 

(1) 如 何 生 成 两 个 比较 接近 、 差 又 足够 大 的 质数 p 和 g 呢 ? 

(2) 如 何 选择 随机 整数 e? 如 何 计算 4? 

(3) 如 何 计算 a*(mod 如 实现 加 密 和 解密 ? 

(4) 大 多 数 的 编译 器 只 能 支持 到 64 位 的 整数 运算 ,在 你 的 程序 中 ,如 何 实现 大 整数 的 
运算 ? 

【进一步 的 知识 】 

在 网 络 通信 中 ,数据 加 密 可 以 防止 信息 在 传输 过 程 中 被 截获 而 泄密 ,但 在 收发 双方 不 能 
够 完全 信任 的 情况 下 ,如何 防止 通信 中 的 某 一 方 或 双方 矢口 否认 实际 已 经 发 生 过 的 通信 呢 ? 
如 股票 交易 中 ,客户 给 股票 经 理发 送 一 个 “购买 X 元 了 股票 ”的 消息 ,但 过 了 一 段 时 间 后 ,该 
股票 下 跌 ,客户 可 能 声称 没有 发 送 过 该 信息 ,甚至 发 送 的 是 卖 出 的 命令 。 这 种 争执 通常 需要 
使 用 数字 签名 解决 ,数字 签名 技术 还 可 以 实现 身份 认证 。 

在 日 常生 活 中 法律、 财务 与 其 他 文件 的 真实 性 和 可 靠 性 ,可 以 通过 亲笔 签名 的 存在 与 
否 来 确定 ,复印 件 是 无 效 的 ,对 签名 的 伪造 和 涂改 一 般 很 容易 被 发 现 , 即 使 伪装 得 比较 好 , 通 
常 也 会 被 笔记 、 纸 张 和 墨 水 专家 鉴定 出 来 。 

对 于 电子 文件 ,也 需要 电子 化 的 签名 来 实现 类 似 于 手写 签名 的 功能 : 它 必须 能 够 验证 
签名 者 和 签名 时 间 ,能 够 验证 被 签名 的 消息 内 容 ,能 够 由 第 三 方 仲裁 以 解决 争执 。 因 此 数字 
签名 应 该 满足 下 列 条 件 。 

(1) 签名 必须 是 与 消息 相关 的 二 进 制 位 串 。 

(2) 签名 必须 使 用 发 送 方 所 独 有 的 某 些 信息 ,以 防止 伪造 和 不 正确 的 和 否认。 

(3) 产生 签名 比较 容易 ,识别 和 验证 签名 比较 容易 。 

(4) 伪造 签名 在 计算 上 不 可 行 。 无 论 是 从 给 定 的 数字 签名 伪造 发 送 的 消息 ,还 是 从 给 
定 的 消息 伪造 出 相应 的 数字 签名 ,在 计算 上 都 不 可 行 。 

(5) 保存 数字 签名 是 可 行 的 。 这 样 才 可 以 用 于 事后 的 证 明 。 

RSA 算法 是 目前 进行 数字 签名 最 常用 的 算法 之 一 。 因 为 RSA 的 私 钥 是 保密 的 ,因此 ， 
可 以 使 用 私 钥 对 原始 消息 进行 加 密 。 如 张 三 是 用 自己 的 私 钥 对 原始 消息 加 密 ,然后 将 加 密 
后 的 内 容 发 送 给 李 四 ; 李 四 使 用 张 三 的 公 钥 进行 解密 ,如 果 能 够 解 出 正确 的 明文 , 则 可 以 判 
断 出 密 文 是 使 用 张 三 的 私 钥 进行 加 密 的 ,而 张 三 的 私 钥 只 有 张 三 自己 知道 ,所 以 证 明 出 是 张 
三 自己 发 送 的 密 文 ,别人 不 可 能 产生 这 样 的 密 文 , 这 实现 了 对 签名 者 的 验证 ,第 三 方 可 以 根 
据 公 开 的 公 钥 进行 仲裁 。 

但 由 于 RSA 加 密 算法 运算 速度 较 慢 ,而 通常 需要 加 密 的 文件 会 比较 大 ,因此 ,上 面 的 方 
法 可 能 使 产生 和 验证 签名 的 过 程 都 比较 长 。 此 外 ,虽然 网 络 中 传递 的 是 加 密 后 的 密 文 ,但 是 
任何 人 都 可 以 获取 其 公 钥 从 而 对 签名 进行 解密 ,可 能 造成 被 签名 的 消息 的 泄露 。 

改进 方法 是 结合 消息 摘要 技术 。 顾 名 思 义 ,消息 摘要 就 如 一 篇 文章 的 摘要 一 样 ,摘要 比 
原文 短 得 多 。 消 息 摘要 一 般 是 固定 长 度 的 二 进 制 值 , 消 息 的 改变 会 带 来 消息 摘要 的 改变 。 
消息 摘要 是 不 可 逆 的 ,也 就 是 说 不 能 够 根据 摘要 反 推 出 原来 的 全 部 消息 。 这 样 ,就 可 以 在 保 
证 消息 保密 性 的 同时 ,通过 保证 消息 摘要 的 完整 性 来 保证 原始 消息 的 完整 性 。 由 于 消息 摘 
要 短 得 多 , 则 签名 的 速度 也 就 快 得 多 。 
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2.5 孙子 定理 


隋 朝 之 前 有 部 (孙子 算 经 )( 著 者 ,成 书 年 代 不 可 考 ) 提 出 一 个 “ 物 不 知 数 ” 问 题 : 

今 有 物 不 知 数 ,三 三 数 之 有 二 ,五 五 数 之 有 三 ,七 七 数 之 有 二 , 问 物 有 几何 ? 

我 们 可 以 简单 直接 地 列举 , 设 物体 数量 是 x, 根据 "三 三 数 之 有 二 ”得 z= 二 3k 十 2, 即 х= 
2,5,8,11,14,17,20,23,…; 其 中 ,zx 二 8,23,38,… 满 足 “ 五 五 数 之 有 三 ”的 条 件 ; 进一步 x= 
23,128,… 满 足 “z 一 七 七 数 之 有 二 ”的 要 求 。 即 x 二 23 十 105k,k 二 1,2,3,… 为 所 求 。 

《孙子 算 经 ) 书 中 给 出 了 更 巧妙 的 答案 , 明 朝 程 大 位 在 (算数 统筹 ) 以 4 名 口诀 归 纳 如 下 。 

三 人 同行 七 十 稀 , 五 树 梅花 廿 一 枝 ， 
七 子 团圆 整 半月 , 除 百 零 五 便 得 知 。 

其 要 点 在 于 数字 : 3 和 70,5 和 21,7 和 15,105。 口 诀 翻 译 成 白话 文 即 是 : 将 所 求 之 数 
除 以 3 的 余数 乘 以 70, 所 求 之 数 除 以 5 的 余数 乘 以 21, 所 求 之 数 除 以 7 的 余数 乘 以 15 ,将 上 
述 三 个 乘积 相 加 ,其 和 若 大 于 105, 则 减 除 105, 直 到 是 一 个 小 于 105 的 正 整数 。 利 用 算式 表 
示 为 : 2X70 十 3X21 十 2X15 二 233, 再 把 233 一 105 一 105 一 23。23 就 是 所 求 之 数 。 

这 是 因为 : 

70=1, 21=0, 15=0 (mod 3); 
70=0, 21=1, 15=0 (mod5); 
70=0, 21=0, 15=1 (mod7); 
所 以 : 
233 =2Хх70+3Хх21+2х15=2х1+0+0=2 (той 3); 
233 = 2X 70+3X21+2X15=0+3X1+0=3 (той 5); 
233 = 2X 70+3X21+2X15=0+0+2X1=2 (mod7); 

可 以 看 出 ,解决 问题 的 关键 是 70、21、15 这 三 个 数字 。 将 上 述 问题 一 般 化 ,要 求解 同 余 

方程 组 : 


x = a (mod р) 
x = b (mod q) 
x = с (mod r) 
р.а" 两 两 互 质 ,只 需 找到 整数 A、B、C 使 它们 满足 : 
A 三 1, В=0. C=0 (mod bp); 
A=0, B=1, С= 0 (тойд); 
А = 0, В= 0, С=1 (mod7); 
答案 则 为 : zs Да 十 Bb 十 Cc (mod pqr). 
定理 2.9 孙子 定理 (中 国 剩余 定理 ) 
设 mom eom E Z+ ,两 两 互 素 ,人 之 2, 则 对 任意 A 个 整数 ai ,as ,…,ax,* 同 余 方 程 组 : 
х=ау (mod mı) 


z (mod т; ) 


\ 
$ 


x=a, (mod ть) 
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k 
必 有 解 , 其 解 为 : а= М, M; a, 十 M:Mzilas 十 … 十 MuMalaks(mod М). ЖФ. M = ||». 
i=l 


M; = Мм 满足 M7'M; = lmod т;. 
【请 你 注意 】 
(1) 方程 组 中 每 个 方程 的 zx 的 系数 为 1, 如 不 为 1 要 先 化 为 1; 
(2) 只 要 求 模 ma ,ms,… ,m4 互 素 , 并 不 要 求 它们 全 为 素数 ,因为 互 素 条 件 下 同 余 方 程 组 
就 能 和 一 个 同 余 方 程 实现 相互 转化 。 
例 2.33 韩信 和 点 兵 : 有 兵 一 队 , 车 列 成 五 行 , 末 行 一 人 , 若 列 成 六 行 , 末 行 五 人 , 列 成 七 
行 , 末 行 四 人 , 列 成 十 一 行 , 末 行 十 人 , 求 兵 数 。 
解 : 设 兵 有 xz 人 , 则 
х == 1 (тоа 5) 
х = 5 (тоа 6) 
= 4 (mod 7) 
x= 10 (mod 11) 


R 
| 


(1) M=5X6X7X11=2310; 

(2) M, =2310/5=6X7X11=462,M, =2310/6=5X7X11=385, 
М; =2310/7=5X6X11=330,M, =2310/11=5X6X7=210; 

(3) 因为 M Му '=1(той m), BI 462 Му '=2 Mr '=1(mod 5) ,所 以 MT’ =3(mod 5). 
因为 M: Mz '=1(mod тг), BI 385 М; '=М;'=1 (тоа 6) ,所 以 M7 '=1 (тоа 6), 
因为 M; Му '=1(mod ms), 即 330 M;'Œ=M;'=1(mod 7) ,所 以 Mi '=1 (тоа 7), 
因为 M; М,!=1(то4 т; ), 即 210 Мұ! =М;! =1 (тоа 11) ,所 以 My '=1(mod 7); 

(4) х=462Х1Х3+385Х5Х1+330Х4Х1-++210Х10Х1==6731 =2111(mod 2310) 。 

所 以 有 兵 2111 人 。 

012.34 解 方程 组 


И == 5 (тоа 18) 


132 = 2 (mod 15) 
解 : 因为 (18,15) 一 3, 所 以 不 能 直接 使 用 孙子 定理 。 


Tx= 5 (mod 2) x= 1 (mod 2) Ф 
因为 7z= 5 (mod ө, 即 | 


7222 5 (mod 9) х= 2 (mod 9) ®© 


13x= 2 (mod 3) х= 2 (mod3) ©@ 
1% 13x= 2 (mod 15) ,所 以 | 即 | 


132== 2 (mod 5) х==—1 (mod5) Ф 


根据 中 一 四 可 得 : 
x= 1 (mod 2) 
х==— 1 (mod 5) 
x= 2 (mod 9) 


所 以 M=2X5X9=90, M: =90/2=45,М, =90/5=18,M; =90/9=10, 
45 M 'Œ=Mi'=1(mod 2),18 М;!=3М;!=1(тоа 5),M;!=2(mod 5). 


з? —— 


10 M;'Œ=M;'=1(mod 9), 
所 以 r=45X1X1+18X(—1)X2+10X2X1=29(mod 90), 
0] 2.35 请 计算 210 (mod 77). 


ж==2!°°% (под 7), 
解 : 设 х=2!°°°° (mod 77), 0]: 


ZX 三 21%% (mod 11), 


x= 2! 000 000 (mod K —=24 =? (mod 7), 
ШЕ 


д==2!%%%% (mod 0110) =20 =] (mod 11), 
因为 11X2 一 7X3=1, 所 以 1=11X2X2+7X1X(—3)= 23 (mod 77). 
孙子 定理 可 以 用 于 提高 RSA 的 运算 速度 。 
例 2.36 请 用 RSA 密码 算法 加 密 字母 A 并 解密 。 取 p 二 23,g 二 47,e 二 3。 
解 : 加 密 计算 如 例 2. 32 所 示 ,此 处 从 略 。 
解密 : т=51°°? (mod 1081), 
m=51 (mod 23) ==(46+5)2230+15 =51==5 < 25 ==5 Х2'==—4, 
т==519% (mod 47) ==(474+-4) 4+3) ==22==916==2]2==18, 
因为 47X1 一 23X2=1, 所 以 xz 三 47X (一 4)X1 二 23X18X( 一 2) == —1016==65 (mod 1081), 
因为 1 二 m 二 1081, 所 以 取 k==1, 得 mm 二 65, 即 “3” 解 密 变 成 “A”。 


小 结 


本 章 研 究 了 数论 的 核心 问题 : 同 余 。 主 要 内 容 可 以 归纳 为 如 下 4 个 要 点 。 

(1) 同 余 : a=b (mod m) Sm|a—b Sa=b+km. 

Ф “二 "非常 类 似 于 “二”。 

。 =: 左右 可 以 同时 加 减 乘除 同一 个 数 , 但 不 能 除 以 0。 

+ =; 对 于 同一 个 模 汶 ,左右 可 以 同时 加 减 乘除 同 余 的 数 , 但 必须 满足 两 个 要 求 : 不 能 
除 以 与 0 同 余 的 数 ; 除 以 一 个 数 以 后 结果 必须 仍 为 整数 ,因此 通常 不 是 除 以 一 个 
数 ,而 是 乘 以 该 数 模 m 的 逆 元 。 

© 三 保持 : a=b (mod т) .т 变 ,a,b KE: т 变 成 其 一 个 因子 , 同 余 等 式 仍 成 立 ; m 可 

以 分 解 成 个 互 素 的 整数 的 乘积 ,实现 一 个 模 m 的 方程 与 个 方程 组 的 互 化 。 

(2) 剩余 类 和 剩余 系 。 

O Ж m 的 剩余 类 : а (mod m)={ a+km|kE 2). 

+ 同 余 的 归 一 类 : 两 类 或 者 完全 一 样 ,或 者 完全 不 同 ; 

。 完全 不 同 的 最 多 闷 个 。 

@ R т 的 剩余 系 : 每 个 剩余 类 中 找 出 一 个 代表 元 ,组 成 一 个 剩余 系 。 

。 完全 剩余 类 — 完 系 : 都 可 统一 到 0,1,…,m 一 1 之 间 ,m 个 元 素 。 

。 紧缩 剩余 类 ”<> 缩 系 : фт) 个 元 素 , 与 m 互 质 。 

。 缩 系 最 大 的 价值 : 每 个 元 素 都 有 逆 元 。 

。 Ж т 为 素 的 价值 : 完 系 去 除 “0” 就 是 缩 系 。 

@ 工 遍历 模 m 的 完 ( 缩 ) 系 , 则 az 也 遍历 其 完 ( 缩 ) 系 ,其 中 ,(a,m) 二 1。 
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#2= ea 


Ф 剩余 类 和 剩余 系 的 计算 技巧 : 

。 不 规则 的 数 转 化 为 1 ,2,…,m 的 形式 ; 

。 要 证 一 个 数列 是 模 m 的 完 系 ,首先 证 明 有 m 个 数字 ,然后 证 明 它们 两 两 不 同 余 ; 

。 要 证 一 个 数列 是 模 m 的 缩 系 ,首先 证 明 它 是 模 т 的 完 系 , 然 后 证 明 数 列 中 每 个 数 都 
与 m 互 质 。 

© 欧 拉 函数 pn): 


+ 证明 常 用 公式 pg(m) = т HQ 1 [ ОЕ = Il: 
k=1 k=1 


рь 
* 计算 常用 : #гОоп.п) =1,Ш фра) =ф(р)ф(д); Чр УЖЖ. фр) =p—1 和 
pp )=p"—p" 
(3) 三 大 定理 。 
© Wilson 定理 : 
e (p—1)! =—1 (mod р) ө ›Ё®Ж%Ф%@; 
+ 确定 性 地 判断 素数 的 方法 之 一 。 
© Euler 定理 : (а,т)=1,а#”"==1 (mod т). 
@ Fermat 小 定理 : р И.а? ==а (mod р). 
概率 性 地 判断 素数 的 方法 的 基石 。 
Ф Euler 定理 和 Fermat 小 定理 的 应 用 技巧 。 
。 指数 化 简 : 指数 中 减 去 欧 拉 函 数 的 倍数 。 
+ 模 若 为 合 数 : 先 分 离 成 多 个 模 互 素 的 方程 。 
(4) 孙子 定理 : 解 一 次 同 余 方程 组 
x mod т =a; 


z= (EE Ma 十 … 下 )mod M 
mı ть 


x mod m: =az 


M 
—М;=1 mod m; 
x mod m, =аь ш; 


O 方程 组 中 每 个 方程 的 zx 的 系数 为 1, 如 不 为 1 要 先 化 为 1; 
O 模 互 素 ,不 一 定 都 是 素数 , 互 质 条 件 下 同 余 方程 组 就 能 和 一 个 同 余 方程 实现 相互 
转化 。 


作业 


1. 车 p,p 十 10,p 十 14 均 是 素数 ,请 计算 po 

2. Ф a =b (тоа т). W) a=b (mod m4) 或 4 三 一 b (mod mm) 至少 有 一 个 成 立 吗 ? 

3. 求解 一 元 一 次 同 余 方程 : 

(1) 345х=44 (mod 48) (2) 92==18 (mod 48) (3) 17x—20 =4 (mod 48) 

4. 计算 乘法 逆 元 ， 

(1) 27! (тоа 67) (2) 27! (тоа 68) (3) 677! (тоа 1024) 

5. M aosa s**t а 1 Hl bo sbi stt Б, ОЧА т 的 完 系 ,求证 : 34 т ER ao t 
bosai + bist аһ 1 + bm-1 一 定 不 是 模 m 的 完 系 。 
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6. 请 计算 欧 拉 函数 : 


(1) 111) (2) (128) G) (4116) 
Т. 请 利用 欧 拉 定理 或 费 马 小 定理 计算 : 
(1) 25% (тоа 13) (2) 79% (mod 455) (3) 13% (mod 81) 


8. 求 相 邻 的 三 个 整数 ,它们 依次 可 被 4.9、25 整除 。 

9. 求解 同 余 式 : 123 х=456 (mod 2015). 

10. 请 利用 孙子 定理 计算 : 

(1) 1322(mod 117) (2) 79% (mod 455) (3) 1235 (mod 11 025) 

11. 用 仿 射 密码 加 密 消 息 “meet me at my office at eight oclock”, 加 密 密 钥 为 (3,5)。 
请 完成 : 

(1) 写 出 计算 过 程 和 得 到 的 密 文 ; 

(2) 计算 解密 的 密 钥 ; 

(3) 对 计算 得 到 的 密 文 进行 解密 ,还 原 出 明文 。 

12. BA RSA 密码 体制 的 公 钥 为 n 二 187,e 二 7, 待 发 送 的 消息 为 “5”, 试 将 该 消息 加 密 
后 发 送 。 对 应 的 解密 密 钥 应 该 是 什么 ? 假设 你 截获 密 文 , 请 通过 因子 分 解 п 破译 该 密码 ,并 
对 密 文 解密 。 

13. 请 设计 实现 模 重 复 平方 法 计算 程序 ,要 求 使 用 两 种 不 同 的 计算 过 程 ( 迁 代 和 递归 )， 
给 出 程序 伪 码 或 流程 框图 ,并 计算 出 569* (тоа 997). 

14. 请 设计 实现 对 汉字 进行 凯撒 加 密 的 程序 ,将 * 这 是 一 段 用 于 凯撒 加 密 的 文字 ?进行 
加 密 和 解密 ,给 出 你 的 设计 思路 、 密 钥 、 密 文 ,并 通过 解密 结果 验证 程序 的 正确 性 。 

15. 请 设计 实现 计算 一 个 正 整数 的 欧 拉 函数 的 程序 ,计算 出 (1604741)。 请 分 析 你 的 
程序 的 时 间 复 杂 度 ,通过 哪些 措施 可 以 提高 计算 效率 。 

16. 请 设计 实现 一 个 能 进行 RSA 加 密 解 密 的 程序 ,并 对 上 面 11 题 的 明文 进行 加 密 和 
解密 。 请 给 出 程序 是 : 如 何 生 成 两 个 比较 接近 、 差 又 足够 大 的 质数 p 和 g 067 © tna i 
择 随机 整数 e? 如 何 计算 d? 加 如 何 计算 a* (mod nn) 实 现 加 密 和 解密 ?四 大 多 数 的 编译 器 
只 能 支持 到 ба 位 的 整数 运算 ,在 你 的 程序 中 ,如 何 实现 大 整数 的 运算 ? 

17. 一 种 换 位 式 密码 的 加 密 过 程 描述 为 : 按 行 记录 、 按 列 读 出 。 如 设 列 为 4( 密 钥 ) ,要 
加 密 明 文 为 “canyouunderstandthis”, 首 先 将 明文 按 4 个 字符 一 行 分 组 排列 ,得 到 密 文 为 
“codttaueahnurniynsds”。 


你 能 写 出 此 加 密 算 法 的 加 密 和 解密 公式 吗 ? 


c a n y 
o u u n 
d e r s 
t a n d 
t h i s 


18. 简单 的 切 牌 : 所 谓 切 牌 , 是 指 选择 一 个 随机 的 位 置 ,把 一 副 牌 一 分 为 二 ,然后 交换 
两 部 分 。 你 能 使 用 同 余 的 思想 描述 切 牌 的 过 程 吗 ? 
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19. 完美 的 洗 牌 : 

(1) 有 2n 张 牌 ,对 它们 进行 编号 : 1 ,2,… ,n,n 十 1 ,… ,2n 一 1 ,2n。 

(2) 洗 牌 过 程 为 两 半 交 错 : nn 十 1,1,n 十 2,2,…,2n 一 1,n 一 1 ,2n,n。 

请 问 : 

(1) 这 种 对 一 副 有 2n 张 牌 的 完美 快速 洗 牌 过 程 能 不 能 用 公式 表示 出 来 ? 

(2) 经 过 多 少 次 洗 牌 后 ,每 一 张 牌 会 返回 它们 的 初始 位 置 ? 

(3) 如 果 你 是 一 个 魔术 师 , 选 多 少 张 牌 你 能 最 快 地 实现 上 述 过 程 ? 需要 洗 多 少 次 ? 
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第 3 章 原 根 


【教学 目的 】 

掌握 指数 与 原 根 的 基本 概念 ; 能 够 利用 指数 的 计算 技巧 寻找 原 根 ; 能 够 利用 原 根 
的 性 质 计算 指数 ,能 够 建立 离散 对 数 表 求 解 高 次 同 余 方程 。 

【教学 要 求 】 

通过 本 章 的 学 习 , 读 者 能 够 : 

(1) 识 记 : 指数 与 原 根 等 基本 概念 和 性 质 , 原 根 的 存在 条 件 。 

(2) 领会 : 各 定理 如 何 优化 原 根 的 寻找 过 程 。 

(3) 简单 应 用 : 利用 指数 计算 技巧 寻找 一 个 原 根 ,利用 一 个 原 根 生成 缩 系 中 的 所 有 
元 素 , 利 用 一 个 原 根 计算 缩 系 中 各 元 素 的 指数 ,建立 离散 对 数 表 求 解 高 次 同 余 方程 。 

(4) 综合 应 用 : 高 次 同 余 方程 求解 的 程序 实现 ,离散 对 数 密码 的 设计 与 实现 。 

【学 习 重点 与 难点 】 

本 章 重点 与 难点 是 : 利用 指数 计算 技巧 寻找 原 根 ,利用 原 根性 质 计算 各 数 指数 , 求 
解 高 次 同 余 方 程 等 问题 。 


代数 最 主要 的 问题 是 解 方程 ,在 第 2 章 中 已 经 学 习 过 解 一 次 同 余 方程 ,本 章 围绕 的 是 解 
高 阶 指数 方程 。 在 正式 开始 本 章 学 习 之 前 ,请 思考 下 面 这 三 个 问题 。 

(1) 根据 欧 拉 定 理 知 道 2 圭 1 (mod 7). 3 25=1 (mod 7), 显 然后 者 对 于 畦 指数 化 简 
更 有 价值 。 如 根据 欧 拉 定 理 有 22 2" (той 7); 实际 上 可 以 根据 2 三 1 (mod 7) 将 其 化 简 
成 更 简单 的 形式 2* 志 2(mod 7). 

那么 ,你 能 不 能 对 模 光 二 17、27、37、47、67、87… 类 似 地 找到 比 欧 拉 函 数 更 小 的 数字 上 ， 
使 得 2*=1 (mod m)? 

(2) 根据 欧 拉 定 理 知 道 2 =1 (mod 7) ,考虑 中 间 的 计算 过 程 : 

Ps dd E 分 
因此 ,2:(mod 7) 实 际 上 会 形成 一 个 周期 为 3 的 循环 。 对 于 3 WA: 
з!==3,3#=2,3#=6.3*=1,3#=5.3®=1 (mod 7) 
因此 ,3*(mod 7) 实 际 上 会 形成 一 个 周期 为 6 的 循环 。 那 么 若 底数 为 4.5.6 呢 ? 这 其 中 
体现 了 什么 样 的 规律 ? 

(3) 在 中 学 曾经 学 过 2* = 1000 的 解 为 r=log:1000; x? = 1000 的 解 为 Іов, |21 = 
logio1000 王 3, 所 以 z 一 十 10%2 。 你 能 不 能 类 似 地 求解 2 一 1000(mod 7)ЖЯП 2° = 1000 (mod 7)? 
这 与 中 学 的 指数 方程 和 对 数 方程 求解 有 什么 异同 ? 

上 述 问 题 都 围绕 着 本 章 的 核心 : 原 根 。 利 用 原 根 的 性 质 可 以 快速 地 实现 加 密 ,为 了 使 
密 结果 直观 可 见 , 将 图 3-1(a) 的 lena 图 像 分 成 6 块 ,使 用 y 二 3*(mod 7) ,就 可 以 加 密 成 
图 3-1(b) ,实现 了 换 位 式 密码 ,其 中 ,x 表示 原始 图 像 块 标号 ,y 表示 加 密 后 图 像 块 标号 。 


= 


(а) 原始 lena 图 像 X (b) 加 密 后 lena 图 像 Y 
图 3-1 简单 换 位 式 加 密 算 法 示意 图 


3.1 指数 


定义 3.1 指数 
т.аЄ ?.т21.(а.т) = 1.10 а*==1 (mod m) 成 立 的 最 小 正 整数 k, 称 为 a Йй т 的 指 


数 , 记 为 ога, (а). 


例 3.1 ord,(1) 一 1， ord; (3) =6. ord; (2) =3, 
огі,(—1)=1, ога,(—1) =2 (m>2)。 
【请 你 注意 】 


(1) 如 果 (a,m) 记 1, 则 规定 ога, (а) =0; 
(2) 在 谈 到 a 对 模 m 的 指数 时 ,总 假定 mm 221. (ат) =1; 
G) 指数 有 时 也 称 为 阶 , 与 ord,, (4) 等同 的 符号 是 6, (a)。 
例 3.2 请 计算 ord; (5)。 
解 : 因为 5! 二 5 ,5 三 4,5 三 6,5! 二 2,5; 寺 3,5' 圭 ] (mod 7). ога, (5) =6. 
相似 地 ,可 以 得 出 : 
1!==1 (mod 7); 
21'=2,2=4,2°=8=1 (mod 7); 
312=3,32==2,3:==27 1,3* 3535 12=5,3#=1 (той 7); 
4 =4 ,4=16=2,4°=8=] (той 7); 
6'=6=—1,6’=] (mod 7), 
从 而 可 以 写 出 模 7 的 指数 表 , 如 表 3-1 所 示 。 
表 3-1 模 7 指 数 表 


а 1 2 3 4 5 6 


ord (а) 1 3 6 3 6 2 


观察 模 7 的 指数 表 , 可 以 看 出 : a 有 9?(7) 一 6 个 不 同 的 取 值 .2 与 4 模 7 的 指数 相同 ,3 


与 5 模 7 的 指数 相同 ,所 有 a 模 7 的 指数 都 是 pg(7) 二 6 的 因数 ; 模 7 的 指数 是 6 的 数字 有 两 
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个 , 模 7 的 指数 是 3 的 数字 有 两 个 , 模 7 的 指数 是 2 的 数字 有 一 个 , 模 7 的 指数 是 1 的 数字 
有 一 个 。 
类 似 地 ,可 以 求 出 模 10 的 指数 表 , 如 表 3-2 所 示 。 
1'=1 (mod 10), 
3'=3,3 =9=—1,3"=7,3*=1 (mod 10), 
7 三 7,7: 王 9,7: 王 3,74 王 1 (mod 10), 
9'=9=—1,9=1 (mod 10) 。 
表 3-2 模 10 指数 表 
а 1 3 7 9 


огй (а) 1 4 4 2 


其 中 ,a 有 (10) 二 4 个 不 同 的 取 值 ,3 与 7 模 10 的 指数 相同 ,所 有 a 模 10 的 指数 都 是 
Ф010) =4 的 因数 。 模 10 的 指数 是 4 的 数字 有 两 个 , 模 10 的 指数 是 2 的 数字 有 一 个 , 模 10 
的 指数 是 1 的 数字 有 一 个 。 

同 理 , 模 14 的 指数 表 如 表 3-3 所 示 。 

表 3-3 模 14 指数 表 


а 1 3 5 9 11 13 


ordi, (a) 1 6 6 3 3 2 


其 中 ,a 有 gy(14) 二 6 个 不 同 的 取 值 ,3 与 5 模 14 的 指数 相同 ,9 与 11 Жї 14 的 指数 相 
同 ,所 有 a 模 14 的 指数 都 是 pg(14) 的 因数 。 模 14 的 指数 是 6 的 数字 有 两 个 , 模 14 的 指数 是 
3 的 数字 有 两 个 , 模 14 的 指数 是 2 的 数字 有 一 个 , 模 14 的 指数 是 1 的 数字 有 一 个 。 

归纳 起 来 ,指数 具有 一 些 基 本 性 质 。 

定理 3.1 а.т.пЄ7.т->1,(а.,т)=1.а"= 1 (mod m) Sord, (a)|n 

证 明 : 设 n 二 ord, (а) 1.0 ога, (а) д.н EZ W): 

а" == а" = а" (mod т) 

因为 ord,, (а) 是 满足 а‘=1 (mod m) З АЛЕ RG OSr< ога, (a), 

所 以 a"=Œ1 (mod т) Sa'Œ1 (mod т) Sr=0, 

Вр а"==1 (mod т) Sord„la)|n, WEHE. 

推论 3.1 а.тЄ7.т2>1.(а.т) =1.% ord„(a) lom). 

定义 3.2 JER 

а,тЄ7,т:>1›(а,т)=1,Ж огӣ,, (а) =ф (т). a 为 模 m 的 原 根 。 

如 根据 模 7 的 指数 表 ,3 和 5 是 模 7 的 原 根 ,1、2、4 和 6 不 是 模 7 的 原 根 。 同 理 ,3 和 7 
是 模 10 的 原 根 ,3 和 5 是 模 14 的 原 根 。 

例 3.3 请 计算 ord (5). 

解 : 因为 (17) 王 16, 所 以 ordir(5)116, 所 以 ordii(5) 可 能 为 1.2、4、8、16， 
因为 5 三 5,5% 圭 1] (mod 17) ,所 以 只 需 计 算 5 .54、58(mod 17), 
因为 5#*=8,5'=64=13,5#==169 10тоа 17). 
所 以 ordi: (5)=16, B 5 是 模 17 的 原 根 。 
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定理 3.2 m,a,b EZ,m>1,(a,m)=1, 

(1) 若 a=b (mod т). ога, (а) =ога, (6); 

(2) ар=1( тоа т). ога, (а) =ога,„ (b); 

(3) Ж 1.пЄ7.а"== а (mod т). п=/ (mod ога, (а)); 

(4) їй пога, (а). а.а! oea" т 两 两 不 同 余 , 特 别 地 ， 

a 是 原 根 Sa ,al ,…,a”*” 1 是 模 т ЮА; 

(5) # піт. ога, (a)|ord, (а); 

(6) #(т.п) =1. (атп) = 1. ога,„ (а) = [ога,„ (а) ,ord, (а) ]; 

(7) ж (ађ.т) = 1. (ога, (а) ,ord, (6)) =1. W] ога, (ab)=ord, (a)ord, (b). 

证 明 : (1) AA а" а == рот" =] (mod m) ,所 以 根据 定理 3. 1 „ога, (b) ога, (а), 
同 理 ; ога, (а) ога, (b) „ТИ ога, (а) =ога, (Б) 。 

(2) Ву ач" == 1 (шоа т), 所 以 的 本 名 三 全 六 0 == 109" х= | (оа т), 
所 以 ога, Cb) ога, (а). 

ІА] а" 0 == (ab) O = m O= 1 (mod m), 所 以 ord, (а) |ord, (6). 

所 以 ога, (а) =ога,„ (b). 

(3) 不 妨 设 n>l, AH lasm) =1, FFV a" ‘= а '=1 (mod m), 

根据 定理 3. 1.ога, (а) 1л — 1. Вр n=l (mod ога, (а)). 

(4) ( 反 证 法 ) 若 0<i < jnl, H a= а! (той т). 

由 (3) 得 j 三 i (mod nn) ,因为 j 一 i<n, 所 以 j 一 i 一 0, 矛盾 ， 

所 以 oo „а "= за" ХР m 两 两 不 同 余 ; 

车 a 是 原 根 , 则 ога, Са) =ф(т), 

FELI а? sa’ ,ar 这 gp(m) 个 数 模 т 两 两 不 同 余 ， 

所 以 a ,a!l,…,a”” 1 是 模 т 的 缩 系 。 

(5) HA а°%"“Ф==1 (mod т). PELI а°%"“Ф ==] (mod л). ога, (а) [ога,„ (а). 
(6) 因为 G4,n) 二 1,Casmn) 二 1, 所 以 ord, (а) [ога (а) sord, Ca) |ordym (а), 

设 s=[ ordn (а) .огі, (а) 1. Т s| огаш (а). 

LAX ога, (а) [5.ога, (а) 15.70 aŒ 1 (той т) ,а'=1 (той n), 

所 以 a 二 1 (той mn), 所 以 ога,„ (а) 15. Ӯ ога, (а) = Гога, (а) sord, (а) ]. 
(7) 因为 Cordm (a)ordm (b) == ( qh) отат (ob)ordm (а) =] (mod т). 

FELA (аЬ)°®" (a)ordm (аб) ==" (a)ordm (ab) Бе" (a)ordm (ab) == регіт (a)ordm ‹Ф =] (mod т). 
ЖТ ога, (6) [ога Cab)ord„ (a) ,因为 (ord,, Ca) .ога,„(6))=1. 

所 以 ога, Cb) |ord, (аб). 

[Н] „ога, (а) Гога, Cab)ordn (b) , FF LA ога, (а) Гога, (ар). 

所 以 ога, (а) ога, (b) | ordn (аб). 

37 — 37101, (ар) °"" (отт (0 = оф (а) рогіт (0) =] (тоа т). 

所 以 ога, Cab) [ога (а) ога, (6). ТІ ога, (аб) =ога,„ (а) ога, (b). 

例 3.4 请 计算 ога, (39). 

解 : 因为 39=5 (mod 17) ,所 以 ordi (39) 二 ordi (5) =16. 

例 3.5 请 计算 ordz (7). 

解 : 因为 7X5 圭 1(mod 17) ,所 以 7=5 (тоа 17). 所 以 ordi1(7) 二 ord11 (5) =16. 
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例 3.6 请 计算 22 (mod 7). 
解 : 因为 ord; (2) 王 3, 所 以 2™ (тоа 7) =2 9 (mod 7) =2 (mod 7). 
例 3.7 请 写 出 模 10 的 缩 系 。 
解 : AH Ф010) = (2) p(5) 王 1X4 一 4,ordio(3) 一 4, 所 以 3 是 模 10 的 原 根 ， 
所 以 模 10 的 缩 系 为 3" ,31,3:,33Cmod 10) , 即 1,3,9,7。 
例 3.8 请 计算 ordss (3)。 
解 : 因为 p(49) 一 72: 一 7 一 42, 所 以 ords (3) 142. FELA orde(3) 可 能 为 1.2.3.6.7、14、 
21、42, 又 因为 ord; (3) 一 6|ordis(3), 所 以 ordis(3) 只 可 能 为 6 或 42， 
所 以 只 需 计 算 3° тоа 49) ,因为 3*==—6 (mod 49) ,所 以 orda (3) =42, 
例 3.9 请 计算 ords(3) 。 
解 : 因为 Ф028) = ф(4 х7) = ф(4) Xp(7) 二 2X6 二 12, 所 以 ordzs (3) 112 
(法 一 ) 因 为 ord; (3)|ordzs (3) „ога, (3)|ordzs (3) ,而 ord: (3) =6.ога, (3)=2, 
所 以 6| ordzs (3)， ЯТ ога (3) 可 能 为 6 或 12， 
因为 3°=1 (mod 28), 所 以 ords(3) 一 6。 
(法 二 ) 因 为 (4,7) 一 1, 所 以 ordz (3) = [ ога, (3) „ога, (3) ]=[ 6.2 ]=6„ 
例 3. 10 请 计算 ога, (5). 
解 : AH 2904=8X3X121=2X 3X11? ,所 以 首先 计算 ords (5) ,ord; (5) 和 ordin (5), 
因为 p(8)=8—4=4,5?=1 (mod 8) ,所 以 ords(5) 一 2， 
因为 5=—1 (mod 3) ,所 以 ord; (5) 一 ord: (一 1) 一 2. 
因为 Ф(11) = 10.52 ==3,5° =45=1 (mod 11) ,所 以 ordn (5) =5. 70 5| ordin (5). 
因为 ф(121) =121—11= 110.071 ordin (5) 1110. 
所 以 ordia (5) 可 能 为 5.10.55 或 110， 
因为 5*=100,5!°==78,5°°==1 (mod 121) ,所 以 ordin (5) =55. 
所 以 ordso(5) 一 [ ords (5) ,ords(5) ordin (5)]=[2,2,55]=110. 
例 3.11 请 计算 模 23 的 一 个 原 根 。 
解 : 因为 p(23) 一 22， 所 以 ordzs Са) 可 能 为 1.2、11、22， 
因为 2#*==4,2!!==1 (mod 23), 所 以 ordss (2)=11, 
又 因为 ordzs (一 1)=2, 而 (一 1X2,23)==(21,23)=1， 
所 以 ordz; (—2) = ordz; (21) =ordz; (—1) X ordz (2) 一 22, 即 21 为 模 23 的 一 个 原 根 。 


3.2 Ж 


本 节 主 要 讨论 原 根 的 价值 ,存在 性 :以 及 计算 技巧 。 
定理 3.3 若 a,m,kE€EZVT,(a,m) 二 1, 记 nn 二 ordn (a),s 二 ordn (a*), 则 
s= n/(k,n) (3-1) 
证 明 : 因为 (a*)’ 志 a* 寺 1] (mod т), n| ks, 
FELI п/п) |ks/Cksn) ,所 以 n/ (k,n)|s, 
ВТ (ак) = (ат) =H (mod m) ,所 以 sln/ (k,n), 
所 以 ;二 n/(k,n)。 证 毕 。 
例 3.12 观察 模 7 的 一 个 缩 系 的 元 素 与 它们 的 指数 ,如 表 3-4 所 示 。 
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表 3-4 模 7 的 一 个 缩 系 的 元 素 与 它们 的 指数 
а 1 2 8 4 5 6 


ord; (а) 1 3 6 3 6 2 


(1) ord; (2)=ord; (9) =огі, (3°) =ога, (3) / (ога, (3),2) =6/(6.2) =3; 

(2) ord; (4) =огд, (22) = ог, (2) / Cord; (2),2) =3/(3.2) =3; 

(3) ord; (5) =ога, (3°) =огд, (3) / Cord; (3).5) =6/(6,5) = 6, 

【你 应 该 知道 的 】 

(1) ?Ң(#,л)=1Ю],5=лп. ога, (а) =ога, (а). AIR m 的 一 个 缩 系 中 ,与 а 指数 相 
同 的 数 有 Corda (a)) 个 ; 

(2) 若 a Ж т ПОЛНЕ, Д] 24 (Е. ФфОт)) =1 В.а ÆR т 的 原 根 ; 

(3) 如 果 模 m 存在 原 根 , 则 不 同 的 原 根 有 glom). 

例 3.13 观察 模 7 的 指数 表 可 以 看 出 : 
因为 g(7)==6 的 因子 有 1、2、3、6, 所 以 模 7 的 指数 可 能 为 1.2.3、6， 

(1) 模 7 的 指数 为 6 的 数字 ( 原 根 ) 有 p(p(7)) = (6) = (2) p(3) 一 2 1; 

(2) 模 7 的 指数 为 3 的 数字 有 Ф638) =2 个 ; 

(3) 模 7 的 指数 为 2 的 数字 有 Ф002) =1 个; 

(4) 模 7 的 指数 为 1 的 数字 有 p(1) 一 1 个 。 

例 3.14 请 计算 模 23 的 所 有 原 根 。 

解 : 因为 一 2 为 模 23 的 一 个 原 根 ( 见 例 3. 11)， 

所 以 模 23 的 原 根 有 wp(2(23)) 一 p(22) 一 p(2)Xp(11) 一 10 个 ， 

所 有 原 根 可 以 表示 为 (一 2)* (mod 23), ЖФ k=1,3,5,7,9,13,15,17,19,21, BI (k, 
9?(23)) 一 1， 

所 以 模 23 的 所 有 原 根 有 : 一 2、 一 8、 一 9、 一 13、 一 6、 一 4、7、5、20、 一 12。 

即 模 23 的 所 有 原 根 有 : 5、7、10、11、14、15、17、19、20、21。 

【你 应 该 知道 的 】 利用 原 根 生成 缩 系 

根据 定理 3.2(4), 可 以 利用 模 m 一 个 原 根 ,将 模 m 的 缩 系 中 其 余 元 素 都 表示 出 来 , 称 
为 可 以 用 模 т 一 个 原 根 生成 模 m 的 缩 系 ,再 利用 定理 3. 3. 可 以 对 应 计算 出 模 m 的 缩 系 的 
每 个 元 素 的 指数 。 

例如 ,用 模 7 的 原 根 3 生成 模 7 的 缩 系 ,如 表 3-5 所 示 。 

表 3-5 以 原 根 3 生成 模 7 的 缩 系 
k 1 2 3 4 5 6 


а=3* 3 2 6 4 5 1 


用 模 7 的 原 根 5 生成 模 7 的 缩 系 ,如 表 3-6 所 示 。 
表 3-6 以 原 根 5 生成 模 7 的 缩 系 
k 1 2 3 4 5 6 


а=5* 5 4 6 2 3 1 
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同样 ,可 以 分 别 用 模 10 的 原 根 3 和 7 生成 模 10 的 缩 系 ,如 表 3-7 和 表 3-8 所 示 。 


表 3-7 以 原 根 3 生成 模 10 的 缩 系 表 3-8 以 原 根 7 生成 模 10 的 缩 系 
1 2 3 4 k 1 2 3 4 
а=3* 3 9 7 1 a=7 7 9 3 1 


据 此 可 以 对 应 计算 出 模 m 的 缩 系 的 每 个 元 素 的 指数 。 
例如 ,用 模 7 的 原 根 3 计算 模 7 的 缩 系 中 每 个 元 素 的 指数 ,如 表 3-9 所 示 。 


表 3-9 以 原 根 3 计算 模 7 的 缩 系 中 每 个 元 素 的 指数 


k 6 2 1 4 5 3 


а=3* 1 2 3 4 5 6 
ord; (a) 6/(6,6)=1 6/(6,2)=3 6/(6,1)=6 6/(6,2)=3 6/(6,5)=6 6/(6,3)=2 


用 模 7 的 原 根 5 计算 模 7 的 缩 系 中 每 个 元 素 的 指数 ,如 表 3-10 所 示 。 
表 3-10 以 原 根 5 计 算 模 7 的 缩 系 中 每 个 元 素 的 指数 
k 6 4 5 2 1 з 


а=5* 1 2 3 4 5 6 
ord; (a) 6/(6,6)=1 6/(6,2)=3 6/(6,5)=6 6/(6,2)=3 6/(6,1)=6 6/(6,3)=2 


同样 ,可 以 分 别 用 模 10 的 原 根 3 和 7 生成 模 10 的 缩 系 中 每 个 元 素 的 指数 ,如 表 3-11 
所 示 。 
表 3-11 以 原 根 3 和 7 生成 模 10 的 缩 系 中 每 个 元 素 的 指数 


大 1 2 3 4 

а=3* 3 9 7 1 
ordi (а) 4/(4,1) 一 4 4/(4,2) 一 2 4/(4,3)=4 4/(4,4)=1 

b=7* i 9 3 1 
ordi (b) 4/(4,1)=4 4/(4,2)=2 4/(4,3)=4 4/(4,4)=1 


例 3.15 请 计算 模 23 的 缩 系 的 每 个 元 素 的 指数 。 

解 : 因为 一 2 为 模 23 的 一 个 原 根 ( 见 例 3. 11) ,p(23) 一 22， 

所 以 依次 计算 一 2 的 宕 得 到 : 

22224, — 922215, — 202216, 252214, —2#==18,—2'==10,—2°'==3 (той 23), 

292217, — 2192212, — 2112222, 212222, — 21322109, 214228, — 215227 (той 23), 

216229, — 217 225, 2182213, — 2192220), — 220226, —22122]], od 23), 

所 以 模 23 的 指数 为 22 的 有 p(22) 一 10 ^: 5.7、10、11、14、15、17、19、20、21。 即 分 别 
为 (一 2)*(mod 23), Ж, (k,22)=22/22=1(k=1,3,5,7,9,13,15,17,19,21). 

Ж 23 的 指数 为 11 的 有 p(11)=10 个: 2、3、4、6、8、9、12、13、16、18。 即 分 别 为 
(一 2)*(mod 23), Ж, (6,22) =22/11=2(#=2,4,6,8,10,12,14,16,18,20)„ 
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Ж 23 的 指数 为 2 的 有 ф(2)=1 个 : 22。 即 分 别 为 (一 2)* (mod 23) ,其 中 ,(R,22) 一 
22/2=11(k=11) ,也 就 是 一 1(mod 23). 
Ж 23 的 指数 为 1 的 有 p(1) 王 1 个 : 1。 即 分 别 为 (一 2)* тоа 23), Ж, (6,22) =22/1= 


22(k=22)。 


例 3.16 请 计算 模 43 的 缩 系 的 每 个 元 素 的 指数 。 
解 : 首先 寻找 模 43 的 一 个 原 根 ,从 2 开始 计算 。 


因为 2#==4,2%==8,2° 


21,2'==42,2'* 


因为 p(43) 一 42, 所 以 orda (a) 可 能 为 1.2、3、6、7、14、21、42， 


1 (mod 43), 所 以 2 不 是 模 43 的 原 根 。 


因为 3#*==9,3%==27,3% 


41,3'==37,3'* 


36,32 ==42 (mod 43), 


所 以 3 是 模 43 的 原 根 。 


接着 依次 计算 3 ПОЕ, Д 3-12 所 示 。 


表 3-12 ЗБ 
k 3% (mod 43) k 3* (mod 43) k 3* (той 43) 
1 3 15 22 29 18 
2 9 16 23 30 11 
8 27 17 26 31 33 
4 38 18 35 32 13 
5 28 19 19 33 39 
6 41 20 14 34 31 
7 37 21 42 35 7 
8 25 22 40 36 21 
9 32 23 34 37 20 
10 10 24 16 38 17 
11 30 25 5 39 8 
12 4 26 15 40 24 
13 12 27 2 41 29 
14 36 28 42 1 


最 后 根据 k 的 取 值 可 以 得 到 表 3-13. 
表 3-13 根据 k 值 计算 a 


ordą (а) a 的 个 数 
П Ф) =1 1 
2 9(2)=1 42 
3 9(3)=2 6,36 
6 9(6)=2 7,37 
7 9(7)=6 4,11,16,21,35,41 
14 9(14)=6 2,8,22,27,32,39 
21 9(21)=12 9,10,13,14,15,17,23,24,25,31,38,40 
42 9(42)=12 3,5,12,18,19,20,26,28,29,30,33,34 


整理 一 下 ,可 以 形成 模 43 的 指数 表 如 表 3-14 所 示 。 
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93-14 模 43 指数 表 


a ords (a) a ords (а) a ords; (a) 
1 1 15 21 29 42 
2 14 16 7 30 42 
3 42 17 21 31 21 
4 7 18 42 32 14 
5 42 19 42 33 42 
6 3 20 42 34 42 
7 6 21 7 35 1 
8 14 22 14 36 3 
9 21 23 21 37 6 
10 21 24 21 38 21 
11 7 25 21 39 14 
12 42 26 42 40 21 
13 21 27 14 41 T 
14 21 28 42 42 2 


定理 3.4 原 根 存在 条 件 
Ж my 有 原 根 的 存在 的 充 要 条 件 是 m 一 2,4,p" 或 2p" ,其 中 ,p 是 奇 素数 ,整数 a 宇 1。 
我 们 重点 关注 模 m 是 奇 素数 时 原 根 的 计算 技巧 。 


定理 3.5 设 p 是 奇 素数 ,p 一 1 二 ПЕТ? 为 不 同 素数 ,车 (a,p) 一 1,a 是 模 户 的 原 


根 的 充 要 条 件 是 : 
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ав 3 10тоа р). #=1,2.+,Ё (3-2) 
证 明 : (=>) a ER р 的 一 个 原 根 ,p 是 奇 素数 , 则 ога, (а) =ф(р) =р—1. 
因为 0< фр) / ра фр) ,pi 为 不 同 素数 ,i 二 1,2,…,k， 
所 以 根据 定义 3. 1.аё 31 (той р). 
(二 =) 车 当 a 和 完美 1(mod p),i=1,2, sk Rit ord, la) < pg(p)=p 一 1， 
因为 根据 定理 3.1,ord, (a)1g(p), 设 e 二 ord, (а). 
所 以 存在 一 个 素数 p;, 使 得 p;|(p 一 1)/e,; 即 (р 1) /е=д х р, Ср 1) / р = де» 
所 以 存在 а =a" =1 (mod p) ,与 题 设 矛盾 ， 
所 以 ord, (а) =ф(р). а 是 模 p 的 一 个 原 根 。 
证 毕 。 
例 3.17 请 计算 模 113 的 一 个 原 根 。 
解 : 因为 pg(113) 二 112 二 2+ x 7, 所 以 只 需 计算 a .а% (той 113), 
因为 2* 寺 109,2”%” 寺 1 (mod 113) ,所 以 2 不 是 模 113 的 原 根 ， 
因为 3* 寺 49,3” 寺 一 1] (mod 113), 所 以 3 是 模 113 的 原 根 。 
例 3.18 请 生成 模 113 的 缩 系 的 所 有 元 素 的 指数 表 。 
解 : 根据 例 З. 17.3 是 模 113 的 原 根 ,所 以 依次 计算 3 Ж.Ш 3-15 所 示 。 
据 此 可 以 形成 模 113 的 指数 表 , 如 表 3-16 所 示 。 


表 3-15 ЗЮ 


k |3(mod113)) k |3*(mod 113)|| k |3:(mod113)| k |3:(mod 113)| k |3*(mod 113) 
1 3 24 4 47 43 70 95 93 89 
2 9 25 12 48 16 71 59 94 41 
3 27 26 36 49 48 72 64 95 10 
4 81 27 108 50 31 73 79 96 30 
5 17 28 98 51 93 74 11 97 90 
6 51 29 68 52 53 75 33 98 44 
1 40 30 91 53 46 76 99 99 19 
8 7 31 47 54 25 77 71 100 57 
9 21 32 28 55 75 78 100 101 58 
10 63 33 84 56 112 79 74 102 61 
11 76 34 26 57 110 80 109 103 70 
12 2 35 78 58 104 81 101 104 97 
13 6 36 8 59 86 82 77 105 65 
14 18 37 24 60 32 83 5 106 82 
15 54 38 72 61 96 84 15 107 20 
16 49 39 103 62 62 85 45 108 60 
17 34 40 83 63 73 86 22 109 67 
18 102 41 23 64 106 87 66 110 88 
19 80 42 69 65 92 88 85 111 38 
20 14 43 94 66 50 89 29 112 1 
21 42 44 56 67 37 90 87 
22 13 45 55 68 111 91 35 
23 39 46 52 69 107 92 105 

93-16 #113 指数 表 
а ога, з (а) а ога, з (а) а ога, (а) а ога; (а) а ога, з (а) 
1 1 24 112 47 112 70 112 93 112 
2 28 25 56 48 16 71 16 94 112 
3 112 26 56 49 7 72 56 95 8 
4 14 27 112 50 56 73 16 96 112 
5 112 28 7 51 56 74 112 97 14 
6 112 29 112 52 56 75 112 98 4 
7 14 30 7 53 28 76 112 99 28 
8 28 31 56 54 112 77 56 100 56 
9 56 32 28 55 112 78 16 101 112 
10 112 33 112 56 28 79 112 102 56 
11 56 34 112 57 28 80 112 103 112 
12 112 35 16 58 112 81 28 104 56 
13 56 36 56 59 112 82 56 105 28 
14 28 37 112 60 28 83 14 106 7 
15 4 38 112 61 56 84 112 107 112 
16 T 39 112 62 56 85 14 108 112 
17 112 40 16 63 56 86 112 109 7 
18 8 41 56 64 14 87 56 110 112 
19 112 42 16 65 16 88 56 111 28 
20 112 43 112 66 112 89 112 112 2 
21 112 44 8 67 112 90 112 
22 56 45 112 68 112 91 56 
23 112 46 112 69 8 92 112 
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信息 安全 数学 基础 


3.3 离散 对 数 方程 


定义 3.3 离散 对 数 
设 整 数 M>, g 是 模 m 的 一 个 原 根 ,(a,m) 二 1, 则 存在 唯一 整数 7 ,1 二 rg(m) ,使 
0" = а (mod т) (3-3) 
W r {ЕД g HRH a Яй т 的 一 个 离散 对 数 , 记 为 ~ 一 indsa 。 
W m=7,g8=3 时 ,有 如 表 3-17 所 示 数 据 。 
表 3-17 т=7,6=3 时 数据 表 
k 1 2 3 4 5 6 


а= 3 2 6 4 5 1 


即 可 以 形成 以 3 为 底 的 模 7 的 离散 对 数 表 , 如 表 3-18 所 示 。 
表 3-18 以 3 为 底 的 模 7 离散 对 数 表 


a 1 2 3 4 5 6 
ind,a 0 2 1 4 5 3 
【请 你 注意 】 


(1) indsa 也 称 为 指标 ,有 的 也 简单 记 为 inda ,或 者 直接 记 为 logsa ; 

(2) indsa 与 对 数 具 有 相似 的 性 质 , 如 

当 indua 一 1 时 ,a 一 g; 

в" 

indza + indb =іпа, (ab) (mod Ф(т)) 4; 

(3) 使 得 в" = а (тоа m) 成 立 的 所 有 整数 zx 可 表示 为 x+ 三 indsa (той Ф(т)). 

例 3.19 请 写 出 模 43 的 离散 对 数 表 。 

Ж: 根据 例 З. 16,3 是 模 43 的 一 个 原 根 ,根据 3 的 笑 , 写 出 以 3 为 底 模 43 的 离散 对 数 
表 , 如 表 3-19 所 示 。 


=a(mod m); 


R 3-19 以 3 为 底 模 43 的 离散 对 数 表 


ТЕ 0 1 2 3 4 5 6 7 8 9 
十 位 

0 0 27 1 12 25 28 35 39 2 

1 10 30 13 32 20 26 24 38 29 19 

2 37 36 15 16 40 8 17 3 5 41 

3 11 34 9 31 23 18 14 7 4 33 

4 22 6 21 


例 3. 20 请 计算 模 43 的 inds28 ,ind;37。 
Ж: 根据 例 3. 19 ,查找 十 位 数 2 所 在 的 行 和 个 位 数 8 所 在 的 列 ,交叉 位 置 为 5, 因 此 
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inds28 一 5; 查找 十 位 数 3 所 在 的 行 和 个 位 数 7 所 在 的 列 ,交叉 位 置 为 7, 因 此 ind;37 一 7。 
例 3.21 解 方程 х°*=3 (mod 7). 
解 : (法 一 ) : ind; х*==їпд;3 (mod Ф(7)), В 5ind; r=1 (mod 6) 
В 6=5 1+1. 14 5! (тоа 6) = —1. #0 inds r =—1=5 (mod 6), 
因为 以 3 为 底 模 7 的 离散 对 数 表 如 表 3-20 所 示 。 
表 3-20 以 3 为 底 模 7 的 离散 对 数 表 
а |! 2 3 4 5 6 


іпа,а 0 2 1 4 5 3 


所 以 х==5 (тоа 7), 
当然 ,也 可 以 利用 以 5 为 底 模 7 的 离散 对 数 表 ,如 表 3-21 所 示 。 


表 3-21 以 5 为 底 模 7 的 离散 对 数 表 
а 1 2 3 4 5 6 


indea 0 4 5 2 1 3 


(法 二 ): ind; л? =іпа;3 (тоа ф(7)). 5 ind; х=5 (mod 6). 

所 以 inds т =1 (тоа 6) ,所 以 т=5 (тоа 7). 

013.22 解 方程 х®=23 (mod 43). 

解 : 利用 例 З. 19 的 离散 对 数 表 有 22 ind; х=їпа,23=16 (mod 42). 

所 以 化 简 得 11 ind; x =8 (mod 21) ,所 以 ind v ==8Х2==16 (mod 21), 

所 以 ind; x = 16.37 (тоа 42), 所 以 x 三 20,23 (mod 43) 。 其 实 就 是 r=+20 (mod 43) 。 

013.23 解 方程 6X37 志 5 (mod 7), 

解 : (法 一 ): 3* 硅 5X (一 1) =2 (mod 7), 所 以 x ind 3=ind; 2 (mod 6) ,所 以 xz=2 (mod 6)。 

QEZ): inds6 十 іпаз 3° =іпаз5 (mod 6), 所 以 3 十 x 二 5 (mod 6), 所 以 т=2 (mod 6)。 

【思考 】 

上 为 整数 ,求解 x* 硅 1 (mod 11)。 

提示 : indnz 是 pg(11) 的 因子 ,因此 inda (x) 可 能 为 1.2、5、10, 但 是 k 的 取 值 不 只 是 1、 
2、5、10, 如 zz 三 1 (mod 11) 一 定 是 х*==1 (mod 11) 的 解 ,此 时 k 可 以 为 任何 整数 。 

例 3.24 解 方程 x’ 寺 3 (mod 301). 


ZX’ 三 3(mod 7) 
解 : x =3 (тоа 301) ө 
2° =3( тоа 43) 


所 以 根据 例 3.21.х=5 (mod 7). 

利用 例 3. 19 的 离散 对 数 表 有 5 indis т=їпй;3=1 (mod 42), 

有 indu; x =17 (mod 42) ,x =3" (mod 43) =26, 

所 以 根据 孙子 定理 zx 二 5X43X1 十 26X7X( 一 6) (mod 301) =26, 
例 3.25 解 方 程 57 寺 3 (mod 301). 


5*=3З(той 7) 
解 : 5* 寺 3(mod 301) ө $ 
5*=3З (mod 43) 
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以 3 为 底 模 7 的 离散 对 数 表 如 表 3-22 所 示 。 
表 3-22 以 3 为 底 模 7 的 离散 对 数 表 


а 1 2 3 4 5 6 


іпа,а 0 2 1 4 5 3 


所 以 xind;5=ind;3 (mod 6) ,所 以 5л==1 (тоа 6) ,所 以 zx=5 (mod 6), 
利用 例 3. 19 的 离散 对 数 表 有 x ind; 5= ind3=1 (mod 42), 

所 以 25x=1 (mod 42) ,x =—5 =37 (mod 42), 

因为 х==5 (mod 6) =5,11,17,23,29,35,41 (mod 42), 

所 以 此 方程 无 解 。 

例 3.26 fI FE 5*=12 (mod 301). 

5*==12==5(той 7) 


解 : 5°=12(то4 301) ө 
5*==12( тоа 43) 


所 以 zx =1 (тоа 6). 

所 以 xz ind; 5= ind; 12 (mod 42) ,所 以 25x =13 (mod 42) ,所 以 2==19 (тоа 42), 
因为 х=1 (mod 6) 1,7,13,19,25,31,37 (mod 42), 

所 以 x 三 19 (mod 42), 

【进一步 的 知识 〗 离散 对 数 密码 算法 

现 有 的 非 对 称 密码 算法 的 安全 性 大 都 是 依赖 数论 中 的 一 些 难题 : 处 理 过 程 计算 上 的 不 


可 逆 性 ( 陷 门 ) 。 


RSA 公 钥 密码 算法 依赖 的 就 是 因子 分 解难 题 : 对 于 大 整数 ,已 知 pq, 就 可 以 很 直接 地 计算 


出 n=pXg, 但 如 果 已 知 的 是 ,分 解 出 的 因子 ,计算 是 非常 耗 时 的 ,并 没有 快速 有 效 的 算法 。 


离散 对 数 问题 也 是 一 个 数学 难题 : 已 知 模 的 原 根 g ,给 定 整数 ~, 计算 出 a 三 g" (mod 


WIRA ,但 若 已 知 zs 、a ,计算 出 整数 -就 非常 困难 。 


ElGamal 公 钥 密码 算法 就 是 依赖 于 上 述 离散 对 数 难 题 ,具体 过 程 描述 如 下 。 
1. 生成 公 钥 和 私 钥 


(1) 选择 大 整数 p A p 的 一 个 原 根 g; 
(2) 随机 选取 整数 a,1 二 a 二 p 一 1, 计 算 b=g* (mod р); 
G) pgb) HAH а 为 私 钥 。 


2. ElGamal 公 钥 密码 算法 进行 加 密 /解密 
(1) ШЖ: 将 信息 表示 为 整数 mm,0 三 m 三 p 一 1, 随 机 选择 整数 &,1 三 k 三 p 一 1, 计 算出 


сі = (mod р) ,cs 三 mXb (mod р). В О у с (ci ,cs)。 
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(2) 解密 : 解密 后 的 明文 为 m= с, (сі) (тоа р). 

证 明 : 因为 cs х (с) (тоа p)=mb (g) '=mg* (g=) = m(mod p), 
所 以 解密 变换 能 正确 从 密 文 恢复 出 相应 的 明文 ,证 毕 。 

例 3.27 选择 素数 p H 4519 和 其 原 根 gs 一 3, 私 钥 一 111, 请 计算 : 


(1) ЖЬ; 

(2) 选择 随机 整数 人 一 891, 将 字母 “<A” 加 密 后 发 送 ; 

(3) 对 收 到 的 密 文 进行 解密 验证 。 

解 : (1) b=g° (mod р) =638; 

(2) 要 加 密 字母 “A”, 即 明文 m= 二 65, 则 c= g*(mod p)=2577, 

c= т 00 265 < 638%! ==65 < 3274== 417( тоа р). 

所 以 , 密 文 为 (2577,417); 

(3) 解密 : m= aX (са) = 41725771 =417 X 32747! =417 X 1539==65( тоа 4519); 

密 文 被 解密 成 字母 “A”。 

Diffie-Hellman 密 钥 协商 机 制 也 依赖 离散 对 数 问 题 , 实 现 发 送 方 A 和 接收 方 В 随机 产 
生 一 个 只 有 两 人 知道 的 共同 的 密 钥 。 它 是 W. Diffie 和 М. E. Hellman 在 1976 年 提出 的 一 
个 奇妙 的 密 钥 交换 的 协议 ,通信 双方 可 以 使 用 这 个 机 制 确定 对 称 密 钥 ,然后 使 用 这 个 密 钥 进 
行 加 密 和 解密 。 其 具体 过 程 描述 如 下 。 


1. 初始 化 


(1) 选择 大 素数 p ,计算 其 一 个 原 根 g; 
(2) A 产生 一 个 随机 数 zs ,1 三 x 二 p ,作为 私 钥 ; 计算 公 钥 ул ==" (тоа р); 
G) B 产生 一 个 随机 数 xs ,1 二 xs 二 p, 作 为 私 钥 ; 计算 公 钥 ys 三 g”* (тоа р). 


2. 计算 共享 密 钥 


(1) A 利用 自己 的 私 钥 zs 和 B 的 公 钥 ys ,计算 加 密 密 钥 K a= ур =g (тоа p); 
(2) B 利用 自己 的 私 钥 ze 和 А 的 公 钥 ya ,计算 加 密 密 钥 Къ уде = рта (mod р). 
所 以 A 和 B 各 自生 成 的 密 钥 KK 三 Ks, 可 以 用 作对 称 加 密 密 钥 。 第 三 方 只 能 获取 p,g， 
geA (тоа p), g™ (mod p) ,无 法 求 得 gas (тоа р). 
例 3.28 %ЕЖ р 54 4519 和 其 原 根 5 一 3,A 选择 私 钥 zs 二 36,B 选择 私 钥 za 一 58， 
请 利用 仿 射 密码 (c 圭 Km(mod p) #1 m=Kc(mod р) 9 (с=т (тоа р) 和 m= 
cK ' «й 20 (mod рО ВЕ АН. 
解 : (1) A 计算 公 钥 : ya=g (тоа р) 23° (тоа 4519) =3975, 
ВТ Ж#Н: ув" (mod р) =3°% (тоа 4519)=1163„ 
(2) A 计算 加 密 密 钥 : Ka= уу (тоа р) 三 1163* (mod 4519) =1627, 
B 计算 解密 密 钥 : Кь= уз (той р) =3975* (mod 4519)==1627, 
(3) A 利用 Ka 使 用 仿 射 密码 加 密 “A”: 
即 明文 区 ==65, 则 c= Km(mod p)=1627X65 (mod 4519) =1818, 
А 将 “1818” 发 送 给 В; 
B 利用 Ks 使 用 仿 射 密码 解密 “1818”: 
因为 4519 一 1627X3 一 362,1627 一 362X4 十 179,362 一 179X2 十 4,179 一 4X45 一 1， 
所 以 1 =4X45—179=(362—179X 2) X45—179=362X45—179X91 
一 362X45 一 (1627 一 362X4)X91 一 362X409 一 1627X91 
一 (1627X3 一 4519)X409 一 1627X91 一 1627X1136 一 4519X409， 
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所 以 K~ (тоа p) =1627~' (mod 4519) =1136. 

则 m= K~'c(mod р) = 1136X1818 (mod 4519) =65; 

也 恢复 出 明文 “A”。 

(4) A 利用 Ks 使 用 指数 密码 加 密 “A”: 

所 以 с=т“ (mod р) =65 (mod 4519) ==2836. 

所 以 A 将 “2836” 发 送 给 В. 

B 利用 Ks 使 用 指数 密码 解密 “2836”: 

因为 4518 二 1627X3 一 363,1627 二 363X4 十 175,363 二 175X2 十 13， 

175=13X13+6,13=6X2+1, 

所 以 1 =13—6X2=13—(175—13X13)X2=13X27—175X2 
=(363—175X2)X27—175X2 

363X27—175X56=363X27—(1627—363 X4) X56=363X251—1627X56 

=(1627X3—4518) X251— 1627 X56=1627X697—4518X 251, 

所 以 К! (тоа p—1) =1627~' (mod 4518) =697, 

FELA m= cg 1912-0 (mod р) =2836% (mod 4519) =65, 

B 恢复 出 明文 “A”。 


小 结 


56 


本 章 以 解 离 散 对 数 方程 为 目的 ,研究 了 原 根 与 指数 ,主要 内 容 可 以 归纳 为 以 下 4 个 要 点 。 
1. 指数 与 原 根 


1) 指数 

(1) (а,т)=1.{# а*=1 (mod m) WÈ SE АЛЕ k, GE ога, (а) я, Ca); 
(2) 指数 整除 欧 拉 函数 ; 

G) 等 指数 : Ж m 同 余 、 互 逆 的 数 的 指数 相同 。 

2) 原 根 

(1) Ж т 的 缩 系 中 指数 与 欧 拉 函数 相等 的 数 ; 

(2) Ж m 有 原 根 的 必要 条 件 是 m= 二 2.4,pr* 或 2 p Hp, p ERKA al. 


2. 指数 与 原 根 的 计算 技巧 


1) 计算 指数 的 技巧 

(1) 老 指 数 从 小 到 大 取 欧 拉 函 数 的 因数 试 算 ,直到 寡 等 于 1; 

(2) (m,n)=1,(asmn)=1, W] ordm (а) = [ord, (а) ,ord, (а) ]; 

(3) (abm) =1. (ога, (а) ога, (6)) =1. W] ога, Cab) =ога, (а) ога, (b); 
(4) (asm)=1,kEZ* M] ога, (а) =ога, (a)/(k,ordn (а)). 

2) 计算 原 根 的 技巧 


是 奇 素数 ,p 一 1 = овар = 1， 
k=1 


а 是 模 p ЁЁ San 31 (той р),&=1.2.-—.5„ 
3. 指数 与 原 根 的 计算 价值 


(1) 指数 的 价值 : ЖЕТЕ RAE f o 

(2) 原 根 g 的 价值 : 

O 生成 元 : 生成 缩 系 的 所 有 元 素 ,{g*|kEZ)。 
加 《与 8 形成 一 一 映射 。 

@ 可 以 根据 寡 指 数 & 对 模 m 的 缩 系 元 素 分 类 。 
由 4 遍历 p(z) 的 缩 系 ,区 遍历 模 疡 的 原 根 。 
© 可 以 计算 出 模 m 的 缩 系 的 所 有 元 素 的 指数 。 


4. 利用 离散 对 数 表 解 高 阶 指数 方程 


(1) 离散 对 数 : g'= a (mod т) ,r 一 indsa ,要 求 g 是 原 根 和 (am) 二 1。 
(2) 类 似 对 数 解 指数 方程 : 

O 原 根 为 底 ,“ 二 "左右 取 离散 对 数 , 模 变 欧 拉 函 数 。 

© 未 知 数 zx 位 于 底数 , 解 的 模 为 m; x 位 于 指数 , 解 的 模 为 om). 


作业 
1. 请 计算 下 面 的 指数 : 
(1) ord (5) (2) ordr (5) (3) ordia (5) 
(4) ordss (5) (5) ordss (25) (6) ordss (55) 


2. 请 写 出 模 47 的 所 有 原 根 。 

З. 请 找到 模 101 的 一 个 原 根 ,并 写 出 缩 系 中 指数 为 5 的 所 有 元 。 

4. 请 建立 模 17 的 离散 对 数 表 ,并 求解 方程 7х*=11(то4 17)。 

5. 利用 模 43 的 离散 对 数 表 求解 : 

(1) zs=11 (mod 43) (2) 6"=11 (mod 43) 

(3) 5л®=11 (mod 43) (4) 6™=11 (mod 43) 

б. k 为 整数 ,求解 zt*=1 (mod 11). 

Т. 写 出 所 有 整数 m 92Р xz 的 同 余 方程 mzs=7Cmod 29) 有 解 。 

8. 设 使 用 ElGamal 公 钥 密码 进行 消息 传输 , 私 钥 为 (641,3,15) ,请 问 : 

(1) 公 钥 为 多 少 ? 

(2) 选择 随机 整数 ,k 二 123. 字 母 *A” 被 转换 为 的 密 文 是 什么 ? 

(3) 你 能 通过 解密 过 程 验证 第 (2) 步 中 加 密 计算 的 正确 性 吗 ? 

9. 设 Diffie-Hellman 密 钥 交换 协议 中 ,公用 素数 p 二 17, 原 根 g 为 3, 若 用 户 A WAH 
ул =9. 00] A 的 私 钥 zs 为 多 少 ? E BAH ys 一 9. 则 加 密 密 钥 4 和 Ks 为 多 少 ? 

10. 请 设计 实现 建立 某 个 数字 的 离散 对 数 表 的 程序 ,完成 : 

(1) 写 出 该 程序 的 关键 步骤 (功能 模块 ) 。 

(2) 求 出 967 的 原 根 中 最 小 的 一 个 g ,建立 其 离散 对 数 表 ,根据 该 表 , 计 算出 indg(15)， 
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求解 x°Œ11 (mod 967)。 

(3) 977 有 原 根 吗 ,987 呢 ? 

11. Hash 函数 ( 散 列 函数 ) 可 将 任意 长 度 的 消息 映射 成 固定 长 度 的 消息 。Chaum、 
Heijst 和 Pfitzmann 在 1992 年 提出 利用 离散 对 数 可 以 构造 Hash 函数 ,构造 的 具体 方法 
如 下 。 

设 p 是 一 个 大 素数 ,g 二 (p 一 1)/2 也 是 一 个 素数 ,a 和 2 为 模 p 的 两 个 原 根 ,定义 Hash 
函数 为 h(x 25) а" Xb" (тоа р). 

设 xz! 和 xz; 是 两 个 不 同 的 消息 ,如 果 有 h(x) 二 h(xs), 则 称 xz1 和 zs 是 一 个 碰撞 。 

可 以 证 明 前 述 Hash 函数 是 抗 碰撞 的 ,这 是 因为 车 (zi ,zs) 和 (xz; ,x ) 是 一 对 碰撞 消息 
( 即 (xi,za) 关 (zs3 sx) h} h Cris) =h Crs, x4)), I GHI h indsb ,与 “离散 对 数 的 计算 是 
一 个 难题 "矛盾 。 

(1) 你 能 计算 出 indsb 吗 ? 

(2) 为 什么 要 求 (p 一 1)/2 也 是 一 个 素数 ? 

12. 定点 攻击 的 实现 在 RSA 公 钥 密码 机 制 中 , 设 B 的 公 钥 为 (n,e), 私 钥 为 (n,d)。A 
将 明文 M 用 B 的 公 钥 加 密 为 密 文 C 后 ,发 送 给 B, 但 中 途 被 C 截获 ,C 截获 后 不 知 d, 故 无 
法 将 C 直接 还 原 为 M ,就 反复 计算 C 的 e 次 寡 , 可 以 将 C 还 原 为 明文 M ,实现 攻击 ,请 问 : 

(1) 实现 攻击 的 数学 原理 是 什么 (C 如 何 可 以 计算 出 原来 的 明文 M)? 

(2) 可 以 对 哪些 参数 采取 限制 条 件 减少 攻击 成 功 的 可 能 性 ? 
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第 4 章 素性 检验 


【教学 目的 】 

掌握 拟 素数 的 概念 ,能 够 利用 概率 检验 法 实现 素性 检验 。 

【教学 要 求 】 

通过 本 章 的 学 习 , 读 者 能 够 : 

(1) 识 记 : 拟 素数 的 基本 概念 。 

(2) 领会 : 确定 检验 法 与 概率 检验 法 的 区 别 , 现 有 概率 检验 法 的 理论 基础 与 发 展 
历程 。 

(3) 简单 应 用 : 使 用 Miller-Rabin 素性 检验 程序 实现 素性 检验 。 

(4) 综合 应 用 : 利用 素性 检验 程序 生成 RSA 密码 算法 需要 的 大 素数 。 

【学 习 重点 与 难点 】 

本 章 重点 与 难点 是 概率 性 素性 检验 的 价值 ,Miller-Rabin 素性 检验 法 。 

所 谓 素性 检验 ,又 称 为 素性 判别 、 素 性 检测 ,研究 如 何 有 效 地 确定 一 个 给 定 的 整数 
是 素数 还 是 合 数 。 


在 正式 开始 本 章 学 习 之 前 ,请 思考 下 面 三 个 问题 。 

(1) 我 们 知道 7、41、97 是 素数 ,4、35、91 是 合 数 , 那么 ,65 539 是 素数 还 是 合 数 ? 
4 294 967 299 呢 ? 

(2) 对 于 一 个 整数 可 以 进行 唯一 分 解 , 其 实 就 是 素 因 数 分 解 ,如 12=2 X3,24 一 2 X3, 
那么 65 541 呢 ? 实际 上 65 541 二 3X21 847 二 3X7X3121, 你 需要 判断 出 65 541 是 一 个 合 
数 , 找 到 最 小 的 素 因 子 3, 再 判断 出 21 847 是 一 个 合 数 ,找到 其 最 小 素 因子 7, 最 后 判断 出 
3121 是 一 个 素数 ,分 解 停止 。 

(3) RSA 密码 机 制 的 第 一 步 是 选择 两 个 大 素数 р 和 9g, 为 抵抗 暴力 破解 ,目前 最 低 要 求 
是 1028 位 ,生成 素数 的 程序 应 该 如 何 设计 ? 有 哪些 难点 ? 

素数 在 数论 中 的 地 位 非常 重要 ,是 很 多 定理 ,算法 的 基础 ,自古 以 来 数学 家 都 在 致力 于 
解决 寻找 素数 的 问题 ,梦想 发 明 能 够 计算 出 素数 的 公式 。 到 了 高 斯 时 代 , 基 本 上 确认 了 简单 
的 素数 公式 是 不 存在 的 。 目 前 ,寻找 素数 主要 通过 素性 检验 实现 。 

判断 一 个 数字 是 素数 还 是 合 数 最 简单 直接 的 办 法 就 是 试 除法 ,尝试 寻找 该 数 的 因子 。 
素性 检验 通常 借助 合 数 检验 ,通过 判断 出 该 数 是 合 数 来 证 明 它 不 是 素数 。 

素性 检验 分 为 确定 性 素性 检验 和 概率 性 素性 检验 。 前 者 可 以 肯定 地 得 出 被 检验 数 是 素数 

是 合 数 的 结论 。 概 率 性 检验 是 指 判 定 正确 的 概率 非常 大 , 即 如 果 将 一 个 数字 判断 为 素数 , 则 它 
是 合 数 (判断 错误 ) 的 概率 小 于 很 小 的 一 个 数 。 概 率 性 素性 检验 的 价值 在 于 它 保 证 以 下 两 点 。 

(1) 比 确定 性 素性 检验 快 得 多 ; 

(2) 判断 错误 的 概率 非常 非常 小 。 

目前 实际 应 用 中 广泛 使 用 的 均 是 概率 性 检验 。 本 章 先 从 我 们 熟悉 的 确定 性 检验 开始 讲 起 。 
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4.1 确定 性 素性 检验 法 


1. 整除 素性 检验 法 


定理 4.1 设 n 是 一 个 正 合 数 ,p 是 的 一 个 最 小 正 因数 , 则 p 一 定 是 一 个 素数 , 且 
p/n. 

证 明 : 因为 p 是 的 一 个 最 小 正 因数 ,因为 n 是 一 个 正 合 数 , 所 以 p>, 

所 以 车 p 不 是 素数 , 则 jalp,a€2Zt ,а21. 

所 以 a<p, 与 pin 的 一 个 最 小 正 因数 蔬 盾 。 

所 以 р 一 定 是 一 个 素数 ,不 妨 设 n 二 pg,g€E2V1 ,所 以 n 二 pg 宇 pp, 所 以 Vn 宇 p， 

所 以 р 一 定 是 一 个 素数 , 且 Vn 宇 p。 证 毕 。 

设 mwEZ+ n> WRV RA ppn RBE р n, 则 一定 是 素数 。 

例 4.1 证 明 191 是 素数 。 

f: 因为 13: 二 169,14* 二 196, 所 以 车 191 是 合 数 , 则 其 最 小 正 因子 р 是 素数 , 且 р<1з. 
因为 2,3,5,7,11,13 均 不 整除 191， 
所 以 191 是 素数 。 
【不 妨 一 试 】 整除 检验 程序 
你 能 设计 一 个 简单 的 小 程序 实现 整除 检验 法 ,并 判断 出 65 537 和 65 539 是 素数 吗 ? 
141 和 262 143 呢 ? 4 294 967 299 呢 ? 
请 记录 程序 的 运行 时 间 , 分 析 耗 时 突 增 的 原因 ,并 尝试 改进 程序 。 


2. 埃 拉 托 斯 特 尼 (Eratosthenes) 筛 法 
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此 方法 据说 是 古 希 腊 的 埃 拉 托 斯 特 尼 (Eratosthenes, 约 公元 前 274—194 年 ) 发 明 的 ,可 
以 求 出 所 有 不 超过 N(N 二 1) 的 素数 。 

例 4.2 求 出 小 于 100 的 所 有 素数 。 

解 : (1) 将 大 于 2 而 小 于 100 的 所 有 自然 数 按 序 排列 : 
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(2) 第 一 个 数 2 是 素数 留 下 ,而 把 2 后 面 所 有 能 被 2 整除 的 数 都 划 去 : 


2 з Ж“ ж „от 9 
лүү 
зр 07 зз м 35 б з з 39 д 
ee 
6l 6 63 4 65 6 67 687 69 07 
е 
9 07 93 М 95 067 97 эк 99 


(3) 2 后 面 留 下 的 第 一 个 数 是 3,3 一 定 是 素数 , 留 下 ,而 把 3 后 面 所 有 能 被 3 整除 的 数 
ЖЫШ Ж: 


2 3 5 7 


жо 
11 13 „б 17 19 
“о 23 25 и“ 29 
31 „жо 35 37 28 
41 43 в“ 47 49 
ша“ 53 55 ши“ 59 
61 58 65 67 „ж 
71 73 в т 79 
жо 83 85 AT 89 
91 9 95 97 „э 


(4) 3 后 面 留 下 的 第 一 个 数 是 5.5 一 定 是 素数 , 留 下 ,而 把 5 后 面 所 有 能 被 5 整除 的 数 
都 划 去 : 


2 з 5 7 
11 13 17 19 
23 28 29 

31 26 37 
4 43 47 49 
53 „з 59 

61 б 67 
т 73 77 79 


91 „ж 97 


(5) 5 后 面 留 下 的 第 一 个 数 是 7,7 一 定 是 素数 , 留 下 ,而 把 7 后 面 所 有 能 被 7 整除 的 数 
都 划 去 : 
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11 13 17 19 
23 29 
31 37 
41 43 47 A 
53 59 
61 67 
71 73 м“ 79 
83 89 
ши“ 97 


(6) 7 后 面 留 下 的 第 一 个 数 是 11,11 一 定 是 素数 ,但 112 2100. H ARAFE REJE Йй Ж 


合 数 的 处 理 结束 ,剩余 的 所 有 数字 就 是 100 以 内 的 素数 : 2,3,5,7,11,13,17,19,23,29,31, 
37,41,43 ,47,53,59,61.67.71.73,79.83,89,97,—36 25 个 。 


【不 妨 一 试 】 埃 拉 托 斯 特 尼 筛 法 程序 
你 能 设计 一 个 简单 的 小 程序 实现 埃 拉 托 斯 特 尼 筛 法 ,并 给 出 2000 内 所 有 的 素数 吗 ? 在 


你 的 程序 中 ,是 怎么 实现 将 素数 的 倍数 得 掉 的 呢 ? 


是 一 
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与 前 面 的 整除 检验 法 相 比 ,两 种 算法 优 缺 点 各 是 什么 ? 共同 的 缺点 是 什么 ? 
请 分 析 算 法 复杂 度 , 如 何 让 程序 的 运算 效率 更 高 ? 

【你 应 该 知道 的 】 

(1) 素性 检验 法 都 是 通过 排除 该 数 是 合 数 的 可 能 来 证 明 它 是 素数 ; 

(2) 整除 检验 法 又 叫 古典 检验 法 , 它 也 是 埃 拉 托 斯 特 尼 筛 法 的 依据 。 


3. 威尔逊 阶乘 素性 检验 法 


根据 Wilson 定理 : p 为 素数 SpEZt.p>2,(p—1) !=—1 (mod p) 

例 4.3 191 是 一 个 素数 吗 ? 

解 : 因为 190! (тоа 191)=(—1)!%#((190/2)!)#==—(95!)°==—1 (mod 191), 
所 以 191 是 素数 。 

【不 妨 一 试 】 Wilson 阶乘 素性 检验 程序 

你 能 设计 一 个 简单 的 小 程序 实现 Wilson 阶乘 素性 检验 法 ,并 判断 出 65 537 和 65 539 
个 素数 吗 ? 262 141 和 262 143 呢 ? 4 294 967 299 呢 ? 

是 整除 素性 检验 法 时 间 复 杂 度 更 高 ,还 是 Wilson 阶乘 素性 检验 法 更 高 呢 ? 
程序 设计 过 程 中 请 注意 以 下 两 点 。 

(1) 数据 溢出 问题 ,对 输入 整数 N 请 不 要 简单 计算 : (((N 一 1)/2)1)^2%N。 
(2) 同 余 运算 符 的 计算 结果 通常 为 正 数 ,不 能 简单 判断 最 后 结果 是 不 是 一 1 。 


4. 莱 梅 检验 法 


欧 拉 函 数 和 欧 拉 定理 也 可 以 作为 素性 检验 的 依据 : ф\т)=т—1 Sm 为 素数 。 
定理 4.2 莱 梅 检验 法 


ERM рт, р—1= [о Уа, € Zra 之 0.p; 均 为 素数 ,车 存在 整数 对 每 一 个 


素 


ГА Тр 
ый Æ1(modp) 和 #71 =1(тойр) (4-1) 
Лр. 
只 需要 证 明 此 时 фр) = р 1. ЙЕ р 11 фр) фр) 1р1. 
首先 假设 p 一 1 фр). р |р—1.Н р; фр). ога, (bi) 一 k;, 则 根据 
ыя 32 10той р) 和 b = 10той p) 


H kil p—1 M 2 И pilk SM ki 21 一 ,矛盾 ; 


所 以 有 pile AME р OGA AiP = рар ч. 


FELA r—j>r—1, PELA у. АТ j=0, Вр р |k;; 

因为 kilep) FTA pilo) FEA р—1|ф(р); 

再 因为 фр) <р 1, ф(р)=р—1„ 证 毕 。 

例 4.4 191 是 一 个 素数 吗 ? 

证 明 : 191—1=190=2X5X19, 

取 b 二 2, 有 2!%°==1 (mod 191) ,对 于 pı =2,% 2°==1 (mod 191) ,失败 ; 

Wt bı =189=191— 2,189 =(—2)™=] (mod 191) 

对 于 pı =2,1895=(—2)*=—] (той 191) 

对 于 p: =5,189=(—2)®=49 (mod 191) 

对 于 p: =19,189!°==(—2)!°==69 (mod 191) ,成 功 。 

所 以 191 是 素数 。 

【请 你 注意 】 

定理 4.2 是 素性 检验 的 充分 非 必 要 条 件 。 

如 在 例 4.4 中 ,有 2” 二 1(mod 191) #1 2'%2 = 1 (тоа 191) ,不 满足 定理 4.2, 但 不 能 判 
断 191 就 不 是 素数 。 而 189=1 (mod 191).189!#°7#5#1 (mod 191).189!%/55#1 (mod 191) 
和 189 22] (mod 191) 同 时 成 立 ,满足 定理 4.2, 则 191 是 一 个 素数 。 
因此 使 用 定理 4.2 进行 素性 检验 的 关键 是 找到 一 个 使 式 (4-1) 成 立 的 底数 。 

【进一步 的 知识 〗 其 他 确定 性 素性 检验 方法 

实际 上 ,普罗 效 (Proth) 对 莱 梅 检验 法 做 了 进一步 改进 , 波 克林顿 (Pocklington) 又 对 普 
罗 效 检验 法 再 次 进行 了 改进 。 

目前 确定 性 素性 检验 领域 ,最 强 有 力 的 使 用 算法 之 一 是 分 圆 域 素性 检验 。2002 年 8 
月 ,印度 Manindra Agrawal 和 他 的 两 个 学 生 Neeraj Kayal 和 Nitin Sanexa 设计 了 一 个 被 称 
为 AKS 的 算法 ,是 素性 检验 领域 的 一 个 重要 突破 ,该 算法 时 间 复 杂 度 为 多 项 式 时 间 。 

这 些 知 识 这 里 不 再 著述 ,请 读者 自行 查阅 相关 资料 。 

确定 性 素性 检验 面临 的 最 大 挑战 就 是 时 间 复 杂 度 问题 ,被 认为 最 快 的 AKS 算法 的 时 
间 复 杂 度 虽然 是 多 项 式 级 ,但 目前 仍然 只 有 理论 意义 。 在 实际 工作 中 ,使 用 的 是 从 费 马 素性 
检验 法 衍生 的 各 种 概率 性 素性 检验 法 。 


63 


全 数学 基础 


4.2 ”概率 性 素性 检验 法 


在 16 世纪 , 费 马 证 明了 : 如 果 丸 是 一 个 素数 , 则 V65EZ Д 5"==% (mod n), 即 著名 的 费 
马 小 定理 。 对 绝对 值 小 于 素数 п 的 整数 5b, 一 定 有 (5b,n) 二 1, 该 等 式 可 转化 为 "1! 二 
1 (mod n), 

如 果 像 Wilson 定理 一 般 , 费 马 小 定理 逆向 也 成 立 , 就 可 以 得 到 一 个 简单 有 效 的 素性 检 
验方 法 。 即 若 *V5bEZ,(b,n) 二 1 A b=] (mod n), 则 是 一 个 素数 ”这 个 命题 成 立 ,就 
可 以 快速 验证 是否 是 一 个 素数 。 如 03.319 =1 (mod 11).(3,12):>1,3!#==1 (mod 13), 
33 寺 3 三 1] (mod 14) ,所 以 12 和 14 是 合 数 ,11 和 13 是 素数 。 

很 不 幸 ,这 个 命题 不 成 立 ,1819 年 ,一 位 法 国 数学 家 萨 鲁 斯 发 现 2*”* 寺 1 (mod 341) ,但 
是 341 二 11X31, 自 此 以 后 ,陆续 发 现 了 很 多 反例 ,如 3” 三 1 (mod 91) 但 91=7 X 13,4“ = 
1 (mod 15) 但 15 二 3X5, 等 等 。 
因此 ,YbEZ,(6,n) 二 1, 有 Wb! 二] (mod n) 有 : 

(1) 车 等 式 不 成 立 , 则 一定 不 是 素数 ; 

(2) 若 等 式 成 立 , 则 nn 不 一 定 是 素数 。 

若 用 等 式 р" =] (mod n) 是 否 成 立 来 判断 n 是否 是 素数 ,必然 存在 合 数 n 被 判断 为 素 
数 ,这 种 通过 了 素性 检验 的 合 数 就 被 叫 作 拟 素数 。 

定义 4.1 ЖЬ 

若是 一 个 奇 合 数 , JLE A O.n)=1, H b=] (mod n). W п ШЕ р 的 拟 素数 。 

例 4.5 341 叫 作 基 2 的 拟 素数 ,91 叫 作 基 3 的 拟 素数 ,15 叫 作 基 4 的 拟 素数 。 


1. 费 马 概率 检验 法 


对 于 随机 选取 的 整数 妈 ,(b,n) 二 1 H b=] (тоа n), 则 是 合 数 的 可 能 性 小 于 50%， 
ШШ 是 素数 的 概率 大 于 50%。 若 再 随机 选择 一 个 整数 bh 有 (bn) 二 1 H 1=1 (тоа л), 


nn 是 素数 的 概率 大 于 1 一 去 一 75%%。 因此 ,可 以 进行 多 次 重复 检验 ,提高 n 是 素数 的 概率 。 
综 上 所 述 ,可 以 得 到 费 马 素性 检验 法 : 


Fermat_Prime_Test(n,t) 

输入 : 奇数 n > 3, 安 全 参数 1 

输出 : n 是 否 是 素数 ,n 是 素数 的 概率 
. 素性 检验 的 次 数 num=0; 

.选择 随机 整数 5b,2<b<n 一 2; 

. 计算 g 二 GCD(6,n); 

. 若 g 二 1, 则 nn 是 合 数 ,返回 下 ; 
ЗЕ r=b" (mod n); 

. 若 r 了 1, 则 是 合 数 ,返回 下 ; 

. 素性 检验 的 次 数 num 一 num 十 1; 
. 如果 num<t, 转 到 2; 

. 可 能 是 素数 ,返回 和 是 素数 的 概率 1 一 (1/2)^*num。 


© б з Фф «л р оо го е 
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【进一步 知识 】 基 2 的 拟 素数 

基 6。 的 拟 素数 有 无 穷 多 个 。 数 学 家 马 洛 (Malo) 在 1903 年 用 构造 性 的 方法 对 此 加 以 证 
明 : 如 果 n 是 拟 素 数 ,那么 2" 一 1 也 是 。 不 过 ,与 素数 相 比 , 拟 素数 的 个 数 非常 少 。 如 在 前 
10 亿 个 自然 数 中 , 基 2 的 拟 素数 的 个 数 约 为 素数 的 万 分 之 一 ,同时 为 基 2 和 基 3 的 拟 素数 
的 个 数 不 到 素数 的 十 万 分 之 三 。 

在 费 马 素性 检验 的 过 程 中 ,人 们 惊奇 地 发 现 , 存 在 一 些 合 数 n,VbEZ,(b,n) 二 1 时 都 有 
b=] (mod n), 即 是 基 任 意 与 n 互 素 的 整数 5 的 拟 素数 ,这 样 的 数 n 作 卡 米 吹 尔 
(Carmichael) 数 。 如 整数 561 二 3X11X17 就 是 一 个 卡 米 吹 尔 数 。 

这 是 因为 VOEZ,(5,561) 王 1, 有 (0,3) 王 1,(0,11) 王 1,(0,17) 一 1, 根 据 费 马 小 定 
理 , 有 : 


b = 1 (mod 3), 2! = 1 (тоа 11). WW = 1 (mod 17), 
b= (b )™ =] (mod 3), 


从 而 0599 == (19 )5% =] (mod 11), 
0599 = (b) ==] (mod 17), 
则 有 69% =] (mod 561), 


卡 米 歇 尔 数 就 更 少 了 ,10 亿 之 内 ,只 有 646 个 。 
2. 莱 曼 (Lehmann) 素 性 检验 法 
在 费 马 素性 检验 的 基础 上 , 莱 曼 进行 了 进一步 的 运算 优化 : 


Lehmann _Ргїте_Тезї(л./) 

输入 : 奇数 三 3, 安 全 参数 1 

输出 : п 是 否 是 素数 ,n 是 素数 的 概率 
1. 素性 检验 的 次 数 num 一 0; 

2. 选择 随机 整数 5b,2<<b<n 一 2; 

3. 计算 g=GCD(6,n); 

4. Жас. Шла ЈЕ Е; 

5. 计算 690/2 (mod n); 

6. #77921 或 n 一 1, 则 是 合 数 ,返回 下 ; 

Т. 素性 检验 的 次 数 num 王 num 十 1; 

8. 如 果 num 二 1, 转 到 2; 

9. n 可 能 是 素数 ,返回 入 是 素数 的 概率 1 一 (1/2)^num。 


【思考 】 
莱 曼 素性 检验 法 与 费 马 素性 检验 法 的 异同 是 什么 ? 莱 曼 素性 检验 法 依托 的 数学 原理 应 
该 怎样 表达 ? 


3. 米 勒 - 拉 宾 (Miller-Rabin) 素 性 检验 


设 n 是 一 个 奇 素数 ,根据 费 马 小 定理 ,对 一 个 (5,n) 二 1 的 整数 5, 有 4 1 (тоа л), 
7 一 1 一 24 ,t 为 奇数 , 则 可 以 对 "71! 一 1 进行 因 式 分 解 : 


1 


В 1 60 1 = ОРЕ) 2 "=D = "4D I 1) 
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全 数学 基础 


= TDO De D6 +1) (6 —1) 


= 0(тоа n) (4-2) 
所 以 以 下 同 余 式 至 少 有 一 个 成 立 : 
六 三 1Cmod л) 
b ==— 1( тоа л) 
0 =— 1(той n) 
n (4-3) 
Б =— 1 (mod n) 
Б" =— 1 (mod n) 


定义 4.2 基 尹 的 强 拟 素数 
E n EARRA nlt, s EZ ,为 奇数 ,存在 (0,z) 一 1 的 整数 5, 满 足 5 二 


+1 (mod л). J rEZ, 1<r<s— 1. {14 b" =—1(mod п). 0 n EE Ь 的 强 拟 素数 。 


例 4.6 191 是 基 2 的 强 拟 素数 吗 ? 

解 : 9 191—1=190=2 х 95,2% (тоа 191) 三 1, 所 以 191 是 基 2 的 强 拟 素数 。 

例 4.7 2041 是 基 3 的 强 拟 素数 吗 ? 

解 : 因为 2041 一 1 一 2040 王 22 X255,(3,2041) 一 1， 

РЎ) 325522165231 ,3592=16522==2873— —1,31902=287==729 1(mod 2041), 
所 以 2041 不 是 基 3 的 强 拟 素数 。 

若是 基 6 的 强 拟 素数 , 则 n 是 合 数 的 可 能 性 小 于 25%。 若 奇数 n д р ПОД 


(i 二 0,1,… ,一 1,k) , 则 是 素数 的 概率 大 于 1-я. 
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因此 ,可 以 进行 多 次 重复 检验 ,提高 n 是 素数 的 概率 。 
综 上 所 述 ,可 以 得 到 米 勒 - 拉 宾 (Miller-Rabin) 素 性 检验 算法 : 


Miller_Rabin_Prime_Test(n.1) 

输入 : 奇数 三 3, 安 全 参数 / 

输出 : n 是 否 是 素数 ,n 是 素数 的 概率 

1. 素性 检验 的 次 数 num=0; 

.分解 4 一 1 二 2* ,整数 5220.0 为 奇数 ; 

.选择 随机 整数 4,2<b<n 一 2,r 王 0; 

. 计算 g=GCD(6,n); 

Жа. ШВИ Е; 

. 计算 6 (mod n), 若 < 二 1 或 n 一 1, 则 nn 可 能 是 素数 , 转 到 11; 
. 车 r=s 一 1, 则 nn 是 合 数 ,返回 Е; 

。7 一 r 十 1; 

. z=zXz(mod n), # > 一 ?2 一 1, 则 ) 可 能 是 素数 , 转 到 11; 
10. 转 到 7; 

11. 素性 检验 的 次 数 пит = пит 1; 

12. 若 пит< 1.9] 3; 

13. п 可 能 是 素数 ,返回 和 nn 是 素数 的 概率 1 一 (1/4)^num。 
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例 4.8 3089 是 强 伪 素 数 吗 ? 如 果 是 ,要 求 可 能 是 素数 的 概率 超过 90% 。 
解 : 3089 一 1 一 3088 一 2 X193 ,选择 Miller-Rabin 算法 检验 3089 是 否 是 强 伪 素数 。 
因为 2 (mod 3089) ==393.393°(тоа 3089)=—1, 
所 以 通过 一 次 Miller-Rabin 检验 ,3089 是 基 2 的 强 伪 素 数 ,可 能 为 素数 ; 
因为 393 (тоа 3089) ==2380,2380° (mod 3089)=2263, 

2263? (mod 3089)=2696 ,2696° (mod 3089)=—1. 

所 以 通过 两 次 Miller-Rabin 检验 ,3089 是 基 3 的 强 伪 素 数 ,可 能 为 素数 ; 

所 以 3089 是 强 伪 素数 ,可 能 性 为 1 一 (1/4)*2 二 93.75%。 

【不 妨 一 试 】 Miller-Rabin 素性 检验 

你 能 设计 一 个 程序 验证 29 341 是 强 拟 素数 吗 ? 如 果 判 断 是 肯定 的 ,要 求 是 强 拟 素数 的 
概率 大 于 9%. 

【进一步 知识 】 欧 拉 拟 素数 

另 一 种 常用 的 概率 性 素性 检验 法 是 Solovay-strassen 素性 检验 法 , 它 是 基于 欧 拉 检验 
条 件 。 如 果 合 数 nn 通过 了 Solovay-strassen 素性 检验 , 则 被 称 为 欧 拉 拟 素数 。 

如 果 一 个 是 基 6 的 欧 拉 拟 素数 , 则 一 定 是 基 24 的 拟 素数 ; MRA n EE 的 强 拟 
素数 , 则 一定 是 基 2 的 欧 拉 拟 素数 和 基 & 的 拟 素数 。 

反之 不 一 定 成 立 , 即 基 6b 的 拟 素数 不 一 定 是 基 4 的 欧 拉 拟 素数 , 基 6 的 欧 拉 拟 素数 ? 
不 一 定 是 基 4 的 强 拟 素 数 。 

例 4.9 请 生成 一 个 16 位 的 强 拟 素数 ,是 素数 的 概率 超过 90%。 

f: (1) 生成 一 个 16 位 的 随机 奇数 ,如 pı = 1100 0100 1000 0011,=50 307, 

对 pi 进行 Miller-Rabin 检验 ,ps 一 1 二 50 306 一 2X25 153,(2,p1) 二 1， 

因为 25153 (тоа pı) 三 40 90152-1, 

所 以 没有 通过 Miller-Rabin 检验 ,pl 是 合 数 。 

(2) 生成 一 个 16 位 的 随机 奇数 ,如 ps 二 0100 1110 1000 0101,=20 101, 

对 ps 进行 Miller-Rabin 检验 ,ps 一 1 二 20 100=2? X 5025, (2, p:)=1, 

因为 2° (mod рз) ==4946.4946° (mod p;) =—1. 

所 以 通过 第 一 次 Miller-Rabin 检验 ,ps 是 基 2 的 强 伪 素数 ,可 能 为 素数 ,概率 为 1 一 1/4 一 
75%。 

再 进行 第 二 次 Miller-Rabin 检验 , (3, p:)=1, 

因为 3””(mod рз) 三 一 1， 

所 以 通过 第 二 次 Miller-Rabin 检验 , ps 是 基 3 的 强 伪 素数 ,可 能 为 素数 ,概率 为 
1—(1/4)72=93.75%; 

所 以 0100 1110 1000 0101; 为 一 个 16 位 的 强 拟 素数 ,为 素数 的 概率 超过 9006. 

【不 妨 一 试 】 生成 RSA 需要 的 素数 

RSA 密码 机 制 的 第 一 步 是 选择 两 个 大 素数 p 和 9g ,请 设计 一 个 程序 生成 两 个 32 位 的 素 
数 , 并 得 到 对 应 的 公 钥 和 私 钥 。 

为 抵抗 暴力 破解 ,目前 实际 应 用 中 ,p 和 g 最 低 要 求 是 1024 位 ,相应 的 素数 生成 程序 有 
哪些 设计 难点 ? 
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1. 素性 检验 


(1) 目的 : 判断 一 个 整数 是 否 是 素数 。 

(2) 用 途 : 生成 素数 。 

(3) 方法 : 确定 性 素性 检验 、 概 率 性 素性 检验 。 

(4) 实用 性 : 对 于 大 整数 ,计算 机 进行 素性 检验 使 用 概率 性 方法 。 


2. 概率 性 素性 检验 


(1) 理论 依据 : 反 向 费 马 小 定理 。 

(2) 不 足 : 并 不 一 定 只 有 素数 使 费 马 小 定理 成 立 。 

(3) 导致 : 拟 ( 伪 ) 素 数 , 即 本 是 合 数 却 被 误 判 为 素数 (通过 了 素性 检验 的 合 数 ) 。 
(4) 解决 方案 : 重复 检验 。 

(5) 最 终结 果 : 通过 检验 的 数 是 素数 的 概率 非常 大 。 


з. 概率 性 素性 检验 的 三 种 方法 


A) 共同 依据 : 对 (5.n) 二 1 的 整数 5b 有 46”! 三 1(mod n)。 
(2) 共同 措施 : 


O (b,n)=1. 
© 循环 : 2 十 十 ,一 一 (0 为 底 ,为 循环 次 数 ( 安 全 参数 ) ) 。 
(3) 不 同 之 处 : 


© ЖИН: 一 1,(n 一 1)/2,(n 一 1) 除 以 2 А: 
© 拟 素 数 : 基 4 的 费 马 拟 素数 、 强 拟 素数 。 


作业 
1. 589 是 素数 还 是 合 数 ? 1729 呢 ? 
2. 91 是 基 2 的 拟 素数 吗 ? 是 基 3 的 拟 素数 吗 ? 
3. 1381 是 拟 素数 吗 (概率 超过 95%)? 是 强 拟 素数 吗 (概率 超过 95%)? 1729 呢 ? 
4. 281 是 强 伪 素 数 吗 ? 安全 参数 设 为 2。 
5. 1373 653 是 强 拟 素数 吗 ? 要 求 是 强 拟 素数 的 概率 超过 9006. 
6. 目前 RSA 密 钥 需 要 的 大 素数 一 般 为 1024 一 2048 位 。 你 能 设计 一 个 程序 生成 一 个 


1024 位 的 素数 吗 ? 请 查阅 资料 解决 下 面 的 5 个 问题 。 


(1) 长 度 为 1024 位 的 自然 数 中 .有 大 约 多 少 个 素数 ? 据 此 判断 统计 随机 产生 多 少 个 整 


数 就 可 能 得 到 一 个 素数 ? 
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(2) 是 否 会 有 两 个 人 偶然 地 选择 同样 的 素数 ,导致 得 到 相同 的 密 钥 ,从 而 暴露 了 自己 的 


密 文 ? 

(3) 你 应 该 如 何 产生 一 个 1024 位 的 随机 大 整数 ? 应 该 使 用 什么 样 的 类 型 ? 如 何 保存 
与 使 用 ? 

(4) 如 何 对 这 个 随机 大 整数 进行 素性 检测 ? 应 该 采用 哪 种 素性 检测 方法 ? 在 该 素性 检 
验 过 程 中 ,除了 本 章 知 识 ,还 使 用 了 前 面 学 习 到 的 哪些 关键 知识 点 ? 

(5) 在 实际 使 用 中 还 可 以 采用 什么 样 的 措施 加 快 检验 过 程 ? 
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【教学 目的 】 

掌握 代数 结构 、 三 元 三 律 , 群 . 子 群 群 的 阶 与 元 素 的 阶 . 循 环 群 . 陪 集 、 同 构 与 同 态 、 
商 群 . 置 换 群 等 基本 概念 。 能 够 判断 群 , 生 成 子 群 ,计算 元 素 的 阶 和 北 元 , 陪 集 分 解 群 ， 
计算 置换 。 

【教学 要 求 】 

通过 本 章 的 学 习 , 读 者 能 够 : 

(1) 识 记 ; 代数 结构 、 三 元 三 律 、 群 子 群 、 群 的 阶 与 元 素 的 阶 、 循 环 群 、 陪 集 、 商 群 、 
置换 群 等 基本 概念 与 性 质 。 

(2) 领会 : 同 构 与 同 态 。 

(3) 简单 应 用 : 判断 一 个 代数 结构 是 否 是 群 ,生成 子 群 ,计算 元 素 的 阶 和 逆 元 , 陪 集 
分 解 群 ,计算 置换 。 

(4) 综合 应 用 : 群 空间 和 加 密 空间 ,置换 群 与 剩余 类 和 群 的 运算 类 比 ,置换 与 换 位 式 
密码 等 。 

【学 习 重 点 与 难点 】 

本 章 重 点 是 三 元 三 律 . 群 , 子 群 \ 元 素 的 阶 、 置 换 群 ,难点 是 同 构 、 同 态 和 商 群 。 

从 本 章 开 始 ,进入 抽象 代数 的 学 习 。 抽 象 代数 ,也 叫 作 近 世代 数 ,创始 人 为 法 国 数 
学 家 伽 罗 瓦 (Galois,1811 一 1832) 与 阿 贝 尔 (Abel,1802 一 1829) 。 

所 谓 抽象 代数 就 是 透 过 现象 看 本 质 , 研 究 的 是 代数 结构 (又 巴 代数 系统 ) ,是 现代 数 
学 的 重要 基础 ,其 研究 方法 和 观点 已 经 对 其 他 学 科 产 生 了 越 来 越 大 的 影响 。 

本 章 在 介绍 了 抽象 代数 领域 的 一 些 基 础 概念 以 后 ,首先 讲解 一 个 基本 的 代数 结 
构 : ж. 


在 正式 开始 本 章 学 习 之 前 ,请 思考 下 面 这 3 个 问题 。 

(1) 自然 数 与 正 偶数 哪个 多 ? 直线 上 点 的 个 数 与 这 个 直线 所 在 的 平面 的 点 的 个 数 哪个 多 ? 

(2) 5 个 点 3 条 边 构 成 的 不 同 的 简单 图 有 多 少 种 ? 

(3) 1 加 1 什么 时 候 不 等 于 2? 

实际 上 ,上 述 问 题 在 本 章 前 面 的 内 容 或 离散 数学 等 相关 学 科 中 已 经 学 习 过 ,从 本 章 开 
始 ,我 们 要 换个 角度 看 问题 ,抽象 代数 将 帮助 我 们 站 在 一 个 新 的 高 度 上 考虑 问题 。 


5.1 代数 结构 的 基本 概念 与 性 质 


定义 5.1 代数 结构 
设 S 是 一 个 非 空 集合 ,在 S 上 建立 了 若干 运算 广 , 其 中 ,mmEZ+ ,i 一 1,2,…,m, 若 这 些 
运算 在 5 上 是 封闭 的 , 则 称 5 和 运算 f; 组 成 代数 结构 , 记 为 (S, fio fost fn) 95, fis 
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Firs fams 

【请 你 注意 】 

(1) 代数 结构 又 称 为 代数 系统 。 

(2) 非 空 集合 S 称 为 基 集 , 记 G=(S, fis foss fn) WIGI = 151. BIRER СЕЕ, З) 5 
于 集合 的 阶 ( 基 , 势 )。S 中 的 元 素 具 有 广泛 性 和 抽象 性 ,可 以 是 自然 数 、. 矩 阵 、 字 符 串 …… 不 
失 一 般 性 ,可 以 用 整数 代表 (编号 ) 。 

(3) 在 S 上 建立 的 运算 广 实 际 上 是 S 到 自身 的 映射 ,要 求 具有 唯一 性 和 封闭 性 。 唯 一 
性 是 指 运算 结果 (映射 的 像 ) 是 唯一 的 ,封闭 性 是 指 运算 结果 (映射 的 像 ) 仍 然 属于 集合 S。 

(4) 在 S 上 建立 的 运算 f; 具 有 一 定 的 广泛 性 和 抽象 性 ,不 仅 包括 “十 ”、“* 一 ”“X”“ 二 ” 
等 四 则 运算 ,还 可 以 是 集合 的 并 和 交 、 析 取 , 合 取 、 取 反 、 取 最 大 值 ,字符 串 的 连接 等 ; 运算 可 
以 是 二 元 的 ,也 可 以 是 一 元 的 或 多 元 的 ; 运算 可 以 是 一 个 ,也 可 以 是 多 个 ,通常 用 符号 十 、 
* ,四 .9…… 表 示 , 代 数 结构 记 为 (S, 十 )、(S, 十 , * ,四 ) 等 ,注意 ,这 里 的 “十 ”仅仅 是 一 个 
代表 运算 的 符号 ,并 不 是 一 般 意 义 上 的 四 则 运算 的 加 法 。 

(5) 为 了 强调 运算 的 含义 ,可 将 二 元 运算 > 二 RC(z,y) 记 为 -= 二 zxRy 的 形式 ,在 不 引起 歧 
义 时 , 简 记 为 > 一 zy。 

例 5.1 (1) 自然 数 的 集合 N= 二 {0,1,2,…) 非 空 ,集合 上 有 加 法 运算 ,运算 封闭 (结果 仍 
为 整数 ), 则 构成 代数 结构 CN, 十 ) 。 

(2) 自然 数 集合 N 及 其 上 的 减法 不 能 构成 代数 结构 ,因为 减法 运算 结果 可 能 出 现 负数 ， 
不 在 自然 数 集合 中 , 即 运算 不 封闭 。 

(3) 剩余 类 集合 二 {0,1,…,n 一 1) ,与 运算 十 ,构成 代数 结构 (Z, ,十 ,) ,其 中 ,十 ,定义 
为 : Үх.уЄ7„,х+„у=х+у (mod n). 

(4) 自然 数 集合 及 其 上 的 加 法 和 乘法 构成 代数 结构 (N, 十 ,X )。 

例 5.2 设计 算 机 字 长 为 32 位 , 则 该 计算 机 中 ,2”* 个 不 同 数字 组 成 的 集合 与 运算 型 机 
器 指令 (运算 结果 仍 为 32 位 二 进 制 数 字 ) 构 成 一 个 代数 结构 。 

【你 应 该 知道 的 】 

一 个 代数 结构 的 运算 可 以 是 一 元 的 ,也 可 以 是 二 元 的 、 多 元 的 ,但 最 常 研究 .应 用 的 是 二 
元 运算 ,定义 运算 通常 有 以 下 两 种 方式 。 

(1) 给 出 运算 方式 的 表达 式 。 

定义 (Q, x ) 的 运算 “ x”; Yz,yEQ,zxy 一 z 十 y 一 zy。 例 如 , 31,2EQ,1* 2 一 1 十 
2—1х2=1; 了 3 一 1,2EQ, 一 1* 2=(—1)+2—(—1)X2=3, 

这 实际 上 是 利用 已 有 的 运算 定义 新 的 运算 。 

(2) 给 出 运算 的 运算 表 。 如 


* | a b 
a a b 
b a b 


这 种 方式 适合 集合 元 素 比较 少 的 情况 。 上 表 中 有 


а* а=а. Qx b=b, bx а=а. bx b=b 


0 0 1 
1 0 1 
定义 5.2 子 代数 
车 两 个 代数 结构 (G, * ) 和 (S,@O ) 满 足 ， 
(1) GSS; 


(2) Va, bEG, I] а *b=a Ob, ШЕКСС. ) 为 (S,@) 的 子 代 数 ,或 子 系统 。 

这 个 定义 可 以 推广 到 有 多 个 运算 的 代数 结构 。 

例 5.3 Zm 是 所 有 偶数 组 成 的 集合 , 则 (Zm ,十 ) 是 (Z, 十 ) 的 子 代 数 ,(Q, 十 ) 是 (R, 十 ) 
的 子 代 数 。 

但 奇数 集合 及 其 上 的 加 法 不 是 (Z, 十 ) 的 子 代数 (奇数 集合 及 其 上 的 加 法 不 构成 代数 结 
构 ) 。 

在 对 代数 结构 有 了 一 定 的 了 解 以 后 ,下 面 将 讨论 代数 结构 一 些 常见 的 性 质 ,其 中 的 运算 
均 假定 为 二 元 运算 。 

定义 5.3 代数 结构 的 三 律 

设 代数 结构 (S, 申 ,@) 中 ,四 ,@ 为 二 元 运算 , Ya,o,cES: 

d) 若 (aOO)Oc=aO(OOc) , 则 称 S 上 的 加 满足 结合 律 ; 

(2) Æ aOb=b0a. MEK S 上 的 满足 交换 律 ; 

G) ао 00е) 二 (a5) 四 (a©0), 则 称 满足 第 一 ( 左 ) 分 配 律 ， 

EOD) a 二 (Oa) 田 (c©Oa). 则 称 满足 第 二 ( 右 ) 分 配 律 ， 

若 同时 满足 第 一 、 二 分 配 律 , 则 称 所 对 由 满足 分 配 律 。 

例 5.4 (1) (Z, 十 ,X) 上 ,运算 十 .X 具 有 结合 律 、 交 换 律 ,X 对 十 满足 分 配 律 ; 

(2) (Z+ ,max) 上 ,运算 max 满足 结合 律 .交换 律 ; 

03) (Z, 一 ) 上 ,运算 一 不 满足 结合 律 和 交换 律 。 

定义 5.4 代数 结构 的 三 元 

设 代 数 结构 (S,@O ) 中 ,@ 为 二 元 运算 : 

(1) #JeES, Y rES HA eOr=rOe=zr, Ке 为 (S,@) 的 单位 元 ; 

(2) JOES, Y rES HH Or=r00=0, WER 0 905.0) 276; 

(3) 若 (S,@O ) 的 单位 元 为 e, Jr уЄ 5.9 rOy=e,yOr=e, К x 和 yy 9 3070. 

【请 你 注意 】 

(1) 单位 元 实现 的 是 恒 等 映 射 ,又 称 为 恒 等 元 、 乏 元 ,通常 用 e 表示 ,也 常用 1 表示 ,对 
于 加 法 运算 可 能 用 0 表示 (加 法 运算 是 指 该 运算 的 性 质 与 普通 加 法 相似 ,而 不 仅 是 普通 四 则 
运算 的 加 法 )。 

(2) 一 个 代数 结构 可 能 只 有 左 单位 元 e! 或 者 右 单 位 元 е, . #7 е1 e: 同 时 存在 , 则 单位 元 
一 定 唯一 存在 , 即 ее е. ХЕ ее Ое, е, 


一 ?2 
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(3) 零 元 可 以 直接 用 0 表示 。 与 单位 元 相似 ,一 个 代数 结构 可 能 只 有 左 零 元 0 或 者 右 
零 元 0., 若 4 和 凡 同 时 存在 , 则 零 元 一 定 唯一 存在 , 即 0 二 0 二 和.。 这 是 因为 0 一 0O0 一 0( 注 
意 与 ec 一 aiOe: 一 er 的 不 同 ) 。 

(4) 逆 元 存在 的 前 提 是 单位 元 的 存在 。z 的 逆 元 通常 记 为 zx ,对 于 加 法 运算 ,z Їй 
元 也 可 以 记 为 一 xz。 

(5) 一 个 元 素 xz 可 能 只 有 左 逆 元 x 或 者 右 逆 元 x7! , 若 zf 和 xx 同时 存在 ,只 有 当中 
满足 结合 律 时 才 有 zi! 二 xr!。 这 是 因为 满足 结合 律 时 ,xi! 二 x7?@e 二 zx7?©(xOxr') 二 
(x71Oz)Ozrr! 二 ex! 一 x7!。 因 此 当 (S,) 的 © 满足 结合 律 时 , 它 的 元 素 的 左右 逆 元 相 
等 , 逆 元 才 存在 。 

(6) #7 x їїйлбх ЕТЕ, z 是 唯一 的 。 这 是 因为 若 存在 两 个 不 同 的 逆 元 zi 和 
xi A хү!=х!©е=х!©(х©х;')=(х{!©х)©х;'=е©х;®%=т;!. 

(7) 道 元 的 存在 与 消去 律 (Va,b,cE S, 左 消去 律 : aOb=a0c>b=c0, HÑ KE: 
ba 二 ca 之 b 二 c) 密 切 相关 。 如 果 首 元 存在 一 定 满足 消去 律 (等 号 左右 同时 乘 以 逆 元 实现 
消去 ); 但 满足 消去 律 ,元 素 不 一 定 具有 逆 元 ,如 代数 结构 (Z,.X) 上 ,除了 1, 所 有 元 素 都 没 
有 逆 元 ,但 满足 消去 律 。 

(8) 单位 元 和 零 元 称 为 一 个 代数 结构 的 常 元 ,它们 的 存在 与 否 是 依赖 于 运算 的 ,而 逆 元 
是 否 存在 依赖 于 具体 的 元 素 。 任 何 代数 结构 的 单位 元 恒 有 北 元 , 北 元 为 自身 ; 零 元 一 定 没 
有 逆 元 。 

15.5 (1) 对 代数 结构 (Q, 十 ,X), 十 的 单位 元 是 0,X 的 单位 元 是 1; 十 没有 零 元 , X 
的 零 元 是 0。 

(2) 代数 结构 (Q, 十 ,X ) 中 每 个 元 素 x, 都 有 加 法 逆 元 一 x; 除 0 以 外 的 每 个 元 素 z 都 
有 乘法 逆 元 x 1 二 1/z。 

G) 对 代数 结构 (p(A),U), 其 中 ,p(A) 表 示 集 合 A HRE HAUTES. FEA, 
只 有 单位 元 名 有 递 元 为 名; 对 代数 结构 (p(A). 门 ), 单 位 元 是 A, 零 元 是 名 ,只 有 单位 元 A 
Яй А. 

例 5.6 (Q, * ) ,运算 * 定义 为 : VzyyEQ,zxy=z+y 一 zy,(Q,* ) 满 足 交 换 
律 , 则 : 

(1) 单位 元 : 设 单位 元 为 e, 则 x *e 二 x 十 e 一 Te 二 x, 所 以 e 二 xe, 所 以 单位 元 是 0。 

(2) 零 元 : 设 零 元 为 9, 则 x x0 二 x 十 9 一 x0 二 90, 所 以 x 二 x0, 所 以 零 元 是 1。 

03) 逆 元 : Rr ! 是 工 的 道 元 ,x *x Srt хх Sesa 1 二 xX/(x 一 1), 所 以 ， 
除了 零 元 1 以 外 ,其 余 元 素 均 有 逆 元 。 

【思考 】 写 出 一 个 代数 结构 

若 集合 S 一 {1,2,3,4,5.6) ,请 补充 运算 * ,形成 代数 结构 (S, * ) ,并 思考 下 面 的 问题 。 

(1) 你 给 出 的 代数 结构 有 哪些 子 代数 ? 

(2) 你 给 出 的 代数 结构 和 其 子 代 数 各 有 什么 样 的 性 质 ? 满足 哪些 运算 律 ? 拥有 单位 
元 、 零 元 、 道 元 吗 ? 

例如 ,(S,* ),* 定 义 为 : VY xz,y€ES,rx*y 三 z+ 十 y (mod 6), 这 个 代数 结构 具有 交换 律 
和 结合 律 ,单位 元 为 6, 没 有 零 元 ,1 和 5、2 和 4 互 为 道 元 ,3 与 6 的 逆 元 分 别 为 自身 。 


6). 


НТК So, * ).(Si,* )、(S:,* ) 和 (Si, * ) HEP So =S, S, = {2,4,6}, S2={3, 


S:={6}. 


这 些 子 代数 均 具 有 交换 律 和 结合 律 ,单位 元 为 6, 没 有 零 元 ,每 个 元 素 均 有 逆 元 ; 每 个 子 


代数 的 阶 都 为 6 的 因子 。 


又 如 (S,* ),* 定 义 为 : YzyyES,zxy 一 min(zyy), 这 个 代数 结构 满足 交换 律 和 结 


合 律 ,单位 元 为 6, 零 元 是 1, 除 了 单位 元 ,其 余 元 素 都 没有 逆 元 。(Si, * ) 为 (S, x ) 的 子 代 
数 ,S; 为 S 的 任意 非 空 子 集 。 每 个 子 代数 均 满足 交换 律 和 结合 律 ,S; 中 最 小 的 元 素 是 该 子 代 
数 的 零 元 ,最 大 元 素 是 该 子 代数 的 单位 元 ,除了 单位 元 ,其 余 元 素 都 没有 逆 元 。 


т 
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你 还 能 举 出 其 余 的 例子 吗 ? 

例 5.7 (5.0.0) S$={10,1) ,运算 由 和 名 定义 如 下 : 
@ | 0 1 © | 0 1 
0 0 0 0 0 1 
1 0 1 1 1 0 


(1) 交换 律 : 因为 0 由 1= 王 1 由 0=0,0@O1=1@0=1, 所 以 由 和 斩 9 满足 交换 律 。 

(2) 结合 律 : 因为 0 申 0 由 0=0 由 0=0,0 由 (0 由 0) =0 由 0=0， 
ОФоФ1=001=0,00(0@01) =0@00=0, 
00100=000=0,000100) =000=0. 
ОФІФІ=001= 0.000101) =091=0, 
190Ф0=0@00=0,10(0@00) =1@00=0, 
19001=0Ф01=0,1Ф0Ф01) =1Ф0=0, 
19100=1@00=0,.10(01Ф0) =190=0, 
1®@1@1=1@1=1,1®‹(1@1›=1@1=1› 

所 以 由 满足 结合 律 , 同 理 ,@ 〇 满足 结合 律 。 

(3) 外 对 于 是 可 分 配 的 ,但 对 于 外 并 非 如 此 ; 

A» 100001) =100=1,1110100)Ф(0101) =100=0. 

(4) 单位 元 : ФИ лода 1, 5 001=0.101= 1,18 д З; 

О (770 0.90 000=0.100= 1. AOH д З 

(5) 零 元 : OWENE 0,9 5 000=0,100=0. ARADR ERE; 

ORAP. 

(6) йл: 对 于 四 ,1 的 逆 元 是 1,0 没有 逆 元 ; 

对 于 ,1 的 道 元 是 1; 0 的 逆 元 是 0。 

【思考 】 通过 运算 表 得 出 代数 结构 的 性 质 

请 观察 例 5.7 的 运算 表 , 能 不 能 直接 看 出 上 述 结果 ? 可 以 总 结 出 什么 规律 ? 

例如 ,满足 封闭 性 当 且 仅 当 表 中 ( 右 下 ) 只 会 出 现 表 头 ( 行 首 和 列 首 ) 中 已 经 出 现 过 的 数 

满足 交换 律 当 且 仅 当 运算 表 关于 主 对 角 线 是 对 称 的 ,等 等 。 

前 面 都 是 研究 一 个 代数 结构 自身 的 性 质 ,下 面 开始 研究 两 个 代数 结构 之 间 的 关系 。 

设 有 两 个 代数 结构 ({a,b} ,十 ) 和 ({0,1), x ) ,其 运算 分 别 定义 如 下 。 
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十 | а b * | 0 1 
а а b 0 0 1 
b a b 1 0 1 


仔细 观察 这 两 个 代数 结构 可 以 发 现 , 它 们 并 没有 本 质 的 不 同 , 如 果 将 第 1 个 代数 结构 的 
两 个 元 素 a 和 4 分 别 换 以 第 2 个 代数 结构 的 元 素 0 和 1, 得 到 的 十 的 运算 表 与 第 2 个 代数 结 
构 的 * 的 运算 表 完 全 相同 。 因 此 ,这 两 个 代数 系统 除了 表示 的 符号 形式 不 同 ,是 完全 一 样 
的 ,将 符号 统一 后 ,实质 是 同一 个 代数 系统 。 这 样 表面 不 同 而 实质 上 相同 的 代数 结构 就 被 称 
为 同 构 的 代数 结构 。 

如 果 两 个 代数 结构 满足 下 面 3 个 条 件 : 

(1) 同一 类 型 (相同 运算 符 个 数 ,运算 符 的 元 相同 ); 

(2) 元 素 “ 个 数 ” 相 等 , 即 两 个 集合 的 基 或 势 相等 ,这 样 两 个 集合 中 的 元 素 可 以 一 一 
对 应 ; 

(3) 对 应 元 素 先 运算 后 映射 的 像 与 先 映射 后 运算 的 结果 仍然 对 应 , 则 称 这 两 个 代数 结 
构 同 构 。 

研究 代数 结构 同 构 的 目的 在 于 : 研究 透 一 个 代数 结构 ,就 可 以 解决 所 有 与 其 同 构 的 代 
数 结构 的 问题 。 两 个 同 构 的 代数 系统 ,表面 上 似乎 很 不 相同 ,但 在 结构 上 实际 没有 什么 差 
别 ,只 不 过 是 集合 中 的 元 素 名 称 和 运算 的 标识 不 同 而 已 。 

定义 5.5 同 构 

若 代数 结构 (X,O) 和 (Y, 四 ) 同 构 , 则 存在 一 个 从 X 到 Y 的 一 一 对 应 的 映射 / ,使 得 
Vtr EX, A 

f Oar) = f(x) © fl) (5-1) 

记 为 (X,©@) 宇 (Y,@)。 

例 5.8 求证 : (R* ,XX) 与 (R, 十 ) 同 构 , 映 射 为 fax) = lnr, 

证 明 : /(x) 二 lnz 的 定义 域 是 R+ , 值 域 是 R, 逆 函数 是 (а) е", К f(x) 是 一 个 
REA) R 上 的 一 一 映射 ; 

Vz,yER+t 有 f(xXy)=ln(xXy)=Inz 二 lny==f(z) 十 f(y), 所 以 (R+ ,X) 与 (R, 十 ) 
同 构 。 

【请 你 注意 】 

判断 同 构 的 关键 是 找到 恰当 的 映射 ,但 该 映射 并 不 唯一 。 如 例 5. 8 中 ,f(x) 王 log,z， 
пЄ 7* 都 能 满足 需要 。 

车 一 一 映射 f(z) 可 以 使 (XX, 日 ) 衬 (Y, 田 ), 则 f(z) 可 以 实现 (Y ,加 ) 宇 (X ,©)。 

这 是 因为 Vxi,xs EX, 有 : (ziOzz) 一 Frz) © flr), 


则 SFOS Or: D Sf (fr DF)) 

即 л Ол рр) Ө /(х;)) 

因为 tOr: р fD Оу Сб )), 

所 以 F Fan BE OF E 


Ууу EY Ж FOID Sf ODOT o). 
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如 映射 F(z) 一 e 使 (R, 十 ) 与 (R+ ,X) 同 构 。 因 为 f(x) 二 e* 的 定义 域 是 R, 值 域 是 R+ ， 
道 函数 是 广 !(z) 一 Inz, 因 此 /(z) 是 一 个 R 到 R* 上 的 一 一 映射 ; Yz,yER 有 /(т+у)= 
ее Xe 二 了 J(X)Xf(y), 所 以 f(x)==e* 使 (R, 十 ) 与 (R+ ,X) 同 构 。 

【进一步 的 知识 〗 自 同 构 与 密码 学 

一 个 代数 结构 还 可 以 与 自身 同 构 , 称 为 自 同 构 。 实 数 集合 R 上 有 很 多 不 同 的 到 自身 的 
一 一 对 应 的 映射 ,如 f(z) X18(X) 二 1/zxsh(z) 二 x? ,f(z) 使 (R, 十 ) 自 同 构 ,g(x) 和 
hh(z) 使 (R,X) 自 同 构 。 

设 RSA 的 公 钥 为 (n,e), 私 钥 为 (n,d), 因 为 加 密 过 程 为 c 二 mr (mod 2) ,所 以 加 密 过 程 
实际 是 一 个 映射 c 二 f(m), 它 使 (Z,,X,) 自 同 构 ,这 是 由 于 : 

f(z Х„у)= (x х,у) (тоа п) = (x X y(mod л) ) (тоа лп) 
= х X у (той n) = f(x) Х„/ (y) 

同 理 ,解密 过 程 是 映射 六 一 广 !(c) АДЕ СА, х) ААН. РААД ЯН Z, 上 的 
X, 运 算 对 RSA 进行 攻击 。 

例如 , 张 三 想 让 李 四 给 自己 的 一 份 文件 a 利用 RSA 进行 数字 签名 , 李 四 因 某 种 原因 拒 
绝 , 张 三 就 将 文件 a 拆 成 文件 5 和 c ,保证 5X,c 二 a, 车 李 四 分 别 对 文件 5 和 c 进行 了 签名 ， 
则 张 三 就 可 以 获得 其 对 文件 a 的 签名 。 这 是 因为 签名 过 程 为 s1 二 6” (mod n) H 5: =с“ (mod 
n), Wj 


вуза рс = (bc) =a" (mod n), 

Bp SO) Xf о) = у ЬХ,с) = ра) 

又 如 , 李 四 窃 取 到 一 段 发 给 张 三 的 消息 ,是 用 张 三 的 公 钥 实现 RSA 加 密 的 密 文 c, 要 想 
得 到 明文 m, 李 四 首先 选择 随机 数 ,1 二 k 二 ,然后 用 张 三 的 公 钥 计算 =k" (тоа n) 和 у= 
хс (mod n); 将 у 发 送 给 张 三 , 请 他 签名 ,签名 过 程 为 ;三 y (тоа n); 李 四 得 到 张 三 反 馈 给 
他 的 签名 ,就 可 以 恢复 出 明文 m, 这 是 因为 : 

Бу y =k (a Rk (рс) T с р") ecm (тоа п) 
即 вх) = ХРО Xf Cm) = Kf CAR Kf Fm)) 
=k! Xk X, m =m 

例如 , 设 张 三 的 公 钥 为 (3,1081) , 私 钥 为 (675,1081) , 李 四 得 到 的 其 他 人 发 给 张 三 的 密 
文 是 一 个 数字 “3”, 李 四 恢复 明文 的 过 程 如 下 。 

СТ) 选择 随机 数 上 一 3, 计 算 zx 三 k*(mod п) =3° (mod 1081) =27, 

“3” 的 ASCI 码 为 51,y 寺 zc (mod п) =27 Х51 (mod 1081)=296, 

(2) 张 三 对 у Ж s= y" (тоа n)=296%5 (тоа 1081)=195, 

(3) 李 四 恢 复出 张 三 的 明文 : 因为 1081 二 3X360 十 1， 

所 以 k~ (mod n) 二 3-!(mod 1081)=—360=721 

所 以 т==Ё 1+ (той п)=721Х195 (mod 1081)=65 
原来 张 三 收 到 的 信息 是 “A”。 
因此 在 利用 RSA 进行 电子 签名 时 请 注意 以 下 两 点 。 

(1) 请 不 要 用 RSA 对 陌生 人 的 随机 消息 签名 ; 

(2) 签名 前 请 首先 对 消息 使 用 一 个 散 列 函数 ,得 到 消息 摘要 , 既 可 以 加 快 签名 速度 ,又 
可 以 防止 上 述 对 数字 签名 的 选择 密 文 攻击 。 
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【思考 】 同 构 
代数 结构 (Z, 十 ) 和 (N, 十 ) 同 构 吗 ? 
因为 对 自然 数 集 和 整数 集 , 有 
х: 3 2,—1,0,1;2,3,. Ж 
уут 
ебх): +, 5, 3, 1,0,2,4,6,. N 


可 以 看 出 ,映射 g 是 一 一 对 应 的 , 若 映射 g 使 得 (Z, 十 ) 和 CN, 十 ) 同 构 , 有 g(0) 一 5(1 十 
(一 1D)) 一 8(1) 十 8( 一 1) 一 1 十 2 一 3 天 0, 所 以 (Z, 十 ) 和 CN, 十) 不 同 构 。 

上 述 证 明 过 程 是 不 正确 的 ,你 知道 为 什么 吗 ? 

两 个 代数 结构 同 构 ,要 求 存在 一 个 一 一 映射 ,使 得 先 映 射 后 运算 与 先 运算 后 映射 结果 相 
等 ; 但 是 如 果 一 个 一 一 映射 不 能 满足 这 个 要 求 , 并 不 能 证 明 两 个 代数 结构 就 不 同 构 ,只 是 可 
能 没有 找到 恰当 的 映射 而 已 。 

那么 ,如 何 证 明 两 个 代数 结构 不 同 构 呢 ? 

【请 你 注意 】 

同 构 是 一 个 等 价 关系 ,会 保持 三 律 三 元 。 

设 (X, 昌 ,©) 宇 (Y,* ,人 A), 则 : 

(1) 结合 律 : 若 (X, 中 ) 有 结合 律 , 则 (Y,* ) 也 有 。 

(2) 交换 律 : 若 (X, 申 ) 有 交换 律 , 则 (Y,* ) 也 有 。 

(3) 分 配 律 : 若 (X, 四 ,@O) 有 分 配 律 , 则 (Y,* ,人 人) 也有。 

(4) 么 元 存在 性 : EX DAPAT СҮ. * ) 也 有 。 

(5) 零 元 存在 性 : EX DAFL WY. * ) 也 有 。 

(6) 逆 元 存在 性 : EAX DEL л 有 逆 元 , 则 工 在 (Y,* ) 中 对 应 的 像 y 也有。 

证 明 : 因为 (X, 申 ,@O) 宕 (Y,* ,人 A), 所 以 存在 从 和 到 Y 的 一 一 对 应 的 映射 8 ,Vzx;€ 
X,yEY, 有 8g(z) 一 XiEZ。 

(1) g(z 由 zs 四 xs) 一 g(zi)#*g(zz)#g(Cz) 一 Ji * у; * уз» 

(00, Өлз)) = (т) * (glx) * glr:)) =y * (у; * уз), 
所 以 若 (X, 四 ) 有 结合 律 , 则 х,©х,©х,=х,©(х,©х,). 
所 以 в(2. Фа, лз) = (2. Ф (а, лз )), В yi * уз * уз = у * (уг * уз), 
所 以 (Y,* ) 也 有 结合 律 。 

(2) «(х,©Өхл»)=в(х\) * е(х)= у * у,» 

в(х„©©тху)=(х;) * е(т,)= y: * у, 
所 以 EX DALKE, N х,©л,=х,©л\. 
所 以 р(х. Фл) = (х, Фл), В у * у; = у, * уу, 
所 以 Y, ) 也 有 交换 律 。 

(3) 先 考 察 左 分 配 律 : 

є&(х\©(х,© т;))=е(х,) * (е(х,)/\ е(х»))= у, * (у Му»), 

вССх,©х,) ©(х,©х,))=(е(х,) * g(xz2)) Ng(z1) * g(x3)), 

= (у * уг) А (у * уз), 

所 以 若 (X, 申 ,OO) 有 左 分 配 律 , 则 


&01Ф(2:0© т»))=#((х,©»,»)©(х, л» )). Й] 
yi * Суз хуз) = Су * у) Ay * y) MWY, x ,人 人) 也 有 左 分 配 律 ; 
类 似 地 可 以 考察 右 分 配 律 。 
(4) 乏 元 存在 性 : 
车 (X ,外 ) 的 单位 元 为 e,; 则 YxEX, 有 xe 二 e 虽 x=， 
所 以 в(х)=к(х©е)=р(т) * gle), 
602) = (0.02) = (е) * р(х), 
所 以 (Y,* ) 的 单位 元 存在 为 g(e)。 
(5) 零 元 存在 性 : 
若 (X, 四 ) 的 零 元 为 0, 则 YVzEX, 有 xz 中 0=0 由 z=0， 
所 以 800) = 20:00) = р(х) * g0) 
800) = 20001) = 200) * glx) 
所 以 (Y,* ) 的 零 元 存在 为 g0). 
(6) 逆 元 存在 性 : 
若 (X, 四 ) 的 单位 元 为 e, 对 某 一 zxEX, 存 在 逆 元 zx“! EX， 
所 以 g(e)=g(rDzr 1)=g(r) x* g(x 1)， 
g(e)=g(x Idz) 一 5Cz 1) * р(х) 
因为 Y, ) 的 单位 元 为 g(e), 所 以 (g(z)) =g), 
例 5.9 有 两 个 代数 结构 (Ze ,十 *) 和 (Z", xy), 其 中 ,Ze 一 (0,1,2,3,4,5},Z 二 {1， 
2,3,4,5,6). Ух,уЄ2.2 +у=х +y (mod 6), Vr,yED' ,x Х,у=хХу (mod 7)。 
可 以 看 出 ,(Zs ,十 s) 的 单位 元 为 0, 没有 零 元 ,0 和 3 分 别 与 自身 互 为 逆 元 ,2 与 4、1 与 5 
互 为 道 元 ; (07°. Xy7 ) 的 单位 元 为 1, 没 有 零 元 ,1 和 6 分 别 与 自身 互 为 逆 元 ,2 与 4.3 与 5 互 
为 逆 元 。 则 存在 从 (Zo ,十 ,) 到 (Z;”,.X?) 的 一 一 映射 g ,使 得 : 
800) 一 1，g(3) 一 6 
不 妨 设 g(2) 一 2, 因 此 : 
g(4) = 8042) = g(2) Xi1g(2) = 2 X 2(mod 7) = 4, 
g(5) = g(2 +63) = g(2) xyg(3) = 2 X 6(mod 7) = 5, 
g) = g(2 +5) = g(2) Xig(5) = 2 X 5(mod 7) = 3, 
g(2) = g(4 +4) = g(4) Xg (4) = 4 X 4(mod 7) = 2, 
整理 一 下 : 
映射 g: g(0)=1,g(1)=3,g(2)=2,g(3)=6,g(4)=4,g(5)=5。 
此 一 一 映射 g 使 得 (Ze ,十 。) 衬 (Z;* ,X;) (其实 g 为 g(x)==3*(mod 7))。 
当然 ,也 可 以 设 g(2) 二 3, 因 此 : 
g(4) = g(2 +2) = g(2) Xi1g(2) = 3 X 3(mod 7) = 2, 
g(2) = gU +4) = g(4) Xig(4) = 2 X 2(mod 7) = 4, 
矛盾 ,此 映射 不 成 立 。 或 根据 2 与 4 互 为 道 元 ,g(2) 王 3 5 204) =2 不 是 互 为 道 元 ,矛盾 ,此 
映射 不 成 立 。 
可 以 设 g(2) 一 4, 因 此 ， 
g(4) = g(2 +2) = g(2) Х,е(2) = 4 X 4(mod 7) = 2, 
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g(5) = g(2 3) = g(2) X:g(3) = 4 X 6(mod 7) = 3, 
g) = g(2 +5) = g(2) Xg (5) = 4 X 3(mod 7) = 5, 
g(2) = 6011) = (1) Xi1g(1) = 5 X 5(mod 7) = 4, 
整理 一 下 : 
映射 g: g(0)=1,g(1)=5,g(2)=4,g(3)=6,g(4)=2,g(5)=3。 
实际 上 ,此 一 一 映射 为 g(z) 一 于 (mod 7) ,也 使 得 (Ze А) 200°, Хр), 
Ф] 5.10 求证 : (Z, 十 ) 和 (N, 十 ) 不 同 构 。 
证 明 : 因为 (Z, 十 ) 的 单位 元 是 0, 没有 零 元 ,VY xzEZ 有 道 元 xz! 一 一 xz; 
(N, 十 ) 的 单位 元 是 0, 没有 零 元 ,但 除了 0 均 无 逆 元 。 
所 以 (Z, 十 ) 和 (N, 十 ) 不 同 构 。 
如 果 将 同 构 的 条 件 放宽 一 点 ,将 一 一 映射 放宽 到 一 般 映 射 , 可 以 得 到 比 同 构 更 广 的 一 种 
关系 : 同 态 。 
ЖУ 5.6 同 态 
ERRA DOMY, х) 25, ДАТЕ М X 到 YY Й SAEI Y sa Є 
Х.в: 


Уб Ф х2) = f(x) * f(x2) (5-2) 

如 果 这 个 映射 是 满 射 叫 满 同 态 ,映射 是 单 射 叫 单 同 态 。 

今后 研究 的 一 般 是 满 同 态 , 用 社 表示 。 

例 5.11 (1) 代数 结构 (N, 十 ) 与 ({0,1) ,十 ,) 存 在 映射 /(т)=х(то4д 2) 使 (N, 十 ) 与 
({0,1) ,十 2?) 是 满 同 态 ,这 是 由 于 ГО Ба) а А тоа 2) 二 x1(mod 2) +2: (тоа 2) = 
бал) +. Рб), 

(2) 映射 /(х)=2х 使 代数 结构 (Z, 十 ) 与 (Z, 十 ) 是 单 同 态 ,这 是 由 于 /zi 十 zz) 一 
2(х,+х,„)=2х,+2х,= /(ху)+ /(х»„)„ В /(х)=2х 使 代数 结构 (R, 十 ) 与 (R, 十 ) 既 
是 单 同 态 又 是 满 同 态 。 

(3) (R, 十 ) 与 (R,X) 不 是 满 同 态 。 若 存在 一 个 从 (R, 十 ) 到 CR,X) 的 满 射 /(z) 使 (R， 
十 ) 与 (R,X ) 满 同 态 , 则 Vx,yER,f(zx 十 y) 二 f(z)Xf(y)。 对 于 (R,X) 的 零 元 0 有 ,ja€ER 
有 fla)=0。 又 有 (0)=f(a 一 a)=f(a)Xf( 一 a)=0, 但 是 f(a)= f(a 二 0)= 
fea) X fO A 1(0)= 二 0, 矛 盾 。 因 此 (R, 十 ) 与 (R,X ) 不 是 满 同 态 。 

【请 你 注意 】 

СТ) 满 同 态 对 三 元 三 律 的 保持 是 单 向 的 。 也 就 是 说 ,如 果 函 数 ГЕСХО) СҮ, х ) 的 
满 同 态 ,那么 (X, 四 ) 所 具有 的 性 质 (Y, * ) 仍 然 具 有 。 但 反之 不 一 定 。 

(2) 一 个 同 态 既是 单 同 态 又 是 满 同 态 , 则 它 是 同 构 。 即 同 构 也 是 同 态 。 

例 5.12 (1) 函数 /是 (Ax ,中 ) 到 (N, 十 ) 的 同 态 ,其 中 ,A* 是 A 上 所 有 字符 串 构 成 
的 集合 ,外 是 字符 串 连 接 运 算 , 函 数 / Си) = епи) ,给 出 字符 串 的 长 度 ,而 SuD) = 
len(u@Dv)=len(wW +-1еп(о) = / (и) + Со). 

(2) 函数 了 是 (Ax ,由 ) 到 (A* ,) 的 同 态 ,其 中 ,A * ж А 上 所 有 字符 串 构成 的 集合 ， 
四 是 字符 串 连接 运算 ,@ 定 义 为 Va,oEAx* «Оо ои. Ж / (и) =геу(и) EKF и 
反 转 ,由 于 f UDo) =rev uv) = геу(и) Огеу(о) = (и) Ofw). 

实际 上 ,许多 数据 结构 上 的 操作 都 是 某 两 个 代数 结构 之 间 的 同 态 ,函数 式 程序 设计 语言 
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中 ,很 多 操作 都 是 利用 代数 结构 的 同 态 来 定义 的 .许多 函数 的 归纳 定义 本 质 上 都 是 一 种 特别 
的 代数 结构 (初始 代数 ) 到 某 个 代数 结构 的 同 态 ,函数 式 程序 设计 中 有 时 也 可 利用 一 些 操作 
是 代数 结构 同 态 这 一 点 来 优化 程序 。 

【进一步 的 知识 〗 同 态 密码 

同 态 加 密 技术 的 主要 特点 是 : 允许 在 没有 解密 算法 与 解密 密 钥 的 条 件 下 ,直接 对 加 密 
数据 进行 运算 ,运算 结果 解密 后 与 明文 状态 下 直接 运算 结果 相同 。 

上 述 描 述 可 以 用 数学 语言 表示 , 设 密 文 与 其 上 的 运算 构成 代数 结构 (C, 中 ) ,明文 与 其 
上 的 运算 构成 代数 结构 (M,), 解 密 运算 为 函数 D, 即 YrzEC, 有 D(z)EM。 同 态 密码 
WE: 

Yzy E€ С,Р(х © у) = D(z)OD(y) (5-3) 
BI D ACOM, O) [п] ЖЮ] h i [А] ЖЧ A „ 

利用 同 态 密码 ,无 须 解 密 就 可 实现 对 密 文 进行 操作 ,可 以 满足 云 计 算 、. 电 子 商务 、 物 联 
网 移动 代码 等 各 种 应 用 的 需求 。 随 着 2009 年 IBM 公司 的 克 雷 格 。 金 特 里 (Craig Gentry) 
在 其 博士 论文 中 基于 理想 格 提出 一 种 完全 同 态 加 密 技 术 后 , 同 态 密 码 成 为 密码 学 领域 的 研 

请 收集 阅读 相关 资料 思考 下 面 的 问题 : 

同 态 密码 技术 被 称 为 “密码 学 的 新 发 现 ”“ 一 项 真正 的 突破 ”, 它 究 竞 可 以 解决 什么 样 的 
问题 ?你 是 否 能 够 针对 云 计算 、 社 交 网 络 等 当前 一 些 热门 应 用 ,介绍 几 种 保障 它们 安全 的 
方案 ? 

定义 5.7 同 态 核 

ERR S 是 代数 结构 (X ОУС, * ) 的 同 态 , 并 且 (X, 曙 ) 有 单位 元 e,(Y, х ) 的 单位 
元 为 e ,那么 同 态 核 Ker(f) 二 {x1|x€EX 且 f(x)=e’)。 

【你 应 该 知道 的 】 

(1) 同 态 核 是 同 态 像 为 单位 元 的 原 像 

(2) (Kerf) MEX Ф) ТЧК. 

证 明 : Va, bEKer( f). fab) = fla) * ЈО) =е * е =e , FEV aDbE Kerl f) , PE 
(Ker(P) ,四 ) 是 (X, 四 ) 的 子 代 数 ,证 毕 。 

例 5.13 (1) 设 两 代数 结构 (o(A), 门 ,UD) 和 ({0,1}, 人,V), 其 中 ,A={a,6b,c},p(A) 
表示 A WREE., ARH h(B) 定 义 为 对 任意 BEp(A): 


lm Ҹає В 
h(B) = 
0. ав 


Ф V 的 单位 元 为 0, 故 Кег(л) = (07, {6}. (с). {bsc}}; 
@ Л 1. Кег(л) = { {а}. (а. Б}. {asc}, {asbsc}} o 
(2) f(x) 二 x(mod n) 是 代数 结构 (Z, 十 ) 和 (Z, ,十 ,) 的 满 同 态 映 射 (zEZ+ ), 同 态 核 为 
Ker(f)={k n|kEZ}=0(mod n) ,简单 地 记 为 Ker(f) 二 [0],。 
可 以 类 似 地 构造 集合 : 
K = {[0],,[1],,[2],,… En = 2], ,Cn = 1],} 
显然 有 Ya,b€EZ,a 二 b(mod n), [la], [b], EK,[Lal,t,[6b],=[at+b], EK. 
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所 以 (K ,十 ,) 仍 然 为 一 个 代数 结构 , 称 为 (Z, 十 ) 关 于 ГО) ОВ л ВЯ. КО Z 
关于 f(z)( 模 n) 的 商 集 , 记 为 K==Z/ 志 , ,也 就 是 K 二 Z/f。 显 然 映 射 了 使 得 (Z, 十 ) 与 (K， 
十 ,) 同 态 , 因 为 : 

Va.b EZ,flat+b)=at+b(modn) = (а(той n) +b(mod n))(mod n) 
= [a], [b], = fa) + /%) 

【进一步 的 知识 

(1) 代数 结构 (S ,四 ) 与 其 商 代数 (S/ 太 * ) 同 态 。 这 种 同 态 叫 作 自 然 同 态 。 这 意味 着 
任何 一 个 代数 结构 都 可 以 找到 一 个 与 其 同 态 的 代数 结构 ,这 个 代数 结构 就 是 它 的 商 代数 。 

如 例 5.13 中 (pCA), 门 ,U) 和 (pCA)/h, 人 入,V ) 自 然 同 态 ,其 中 ,pC(A)/h=={[0];,[1j;)， 
[01,= (7, {b}, {с}, {bsc}} [1]: ={{a}, {asb}, lasc} taoyc))。 

当然 ,也 可 以 构造 不 同 的 映射 /, 使 得 (pC(A), 门 ,U) 和 (pC(A)/f, 人 和信,V ) 自 然 同 态 ,如 映 
射 /(B) 定 义 为 对 任意 BEp(A): 

1， 当 b EB 
о 当 b¢B 

Ж o(A)/f=1L0],[1]:} [0] =Ø, ta}, {c}, {asc}} [1] = (06), {asb}, {b,c}, (а, 
b,c}}, 

(2) 商 代数 (S/ 了 ,x ) 与 CF(S),x ) 同 构 。 

如 例 5. 13 中 (o(A) 人 ,人 ,V) 和 (no(A)), 人,V) 同 构 。p(A)/h={[0];,[1],}， 
h(p(A))=1{0,1}。 

例 5.14 代数 结构 (A,*),A 二 {0,1,2,3)}, * 定义 为 : Va,bEA,axb 一 max(a,b), 单 
位 元 为 0, 零 元 为 3。 设 映射 /: A 一 {0,1) ,有 

Шу Ses? 
fla) = 
0， 当 a 二 2 
因为 Va,b€EA,f(axb) 二 fj(max(as6)) 二 f(a)V (6), 所 以 (A,*) 与 ({10,1),V ) 同 态 。 


fB) = 


А//={[01.,[1];},[01»={0.1).[1={2.3}„ АСА, x ) 与 其 商 代数 (A/f,V ) 自 
然 同 态 , 商 代数 (A//,V ) 与 ({0,1),V ) 同 构 。 

* 0 1 2 3 flaxb)l 0 1 2 3 

0 0 1 2 3 0 0 0 1 1 V 0 | 

1 1 1 2 3 > 1 0 0 1 1 "к 0 0 1 

2 2 2 2 3 2 1 1 1 1 1 1 1 

3 3 3 3 3 3 1 1 1 1 


5.2 群 的 定义 


群 是 一 种 基本 的 代数 结构 ,借助 群 环 、 域 等 代数 结构 ,可 以 实现 对 信息 安全 许多 事物 的 
本 质 进行 刻画 。 
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定义 5.8 F 

设 G 是 一 个 带 有 运算 “中 ”的 非 空 集合 , 且 其 中 的 运算 满足 以 下 4 个 条 件 , 则 称 (G, 中 ) 
是 一 个 群 。 

(1) 封闭 律 .Va.oEG, 有 aoEG; 

(2) 结合 律 , Vab, EG, A UDO =a UOD); 

(3) 勾 元 律 , JeEG, YaEG, H aDe=eDa =a, k е 为 单位 元 ; 

(4) 02006, Ya€EG, JLEG. H aDb=bDa=e, $K b H a 的 逆 元 。 

55.15 (2. ERER? 

解 : (1) 整数 相 加 仍 为 整数 ,所 以 满足 封闭 性 ; 

(2) 加 法 满足 结合 律 

(3) 0EZ, YrEZ,zx+0 二 0 十 x 二 zx, 单 位 元 是 0; 

(4) VzEZ,z 十 (一 Z) 一 0, 所 以 每 个 元 素 的 逆 元 为 相反 数 。 
因此 (Z, 十 ) 是 群 。 

例 5.16 (Z, х ) 是 一 个 群 吗 ? 其 中 , Va bEZ.a*b=a+b+ab. 

解 : (1) 整数 运算 后 结果 仍 为 整数 ,所 以 满足 封闭 性 ; 

(2) Ма,Ь.сЄ7,а* 0% с= (а+Ь+аь) *c=a+b+c+ab+ac+bc+abc, 

a * (b * с) =а * (0 十 c 十 pc) 一 a 十 0 十 c 十 ab 十 ac 十 bc 十 abc ,所 以 满足 结合 律 ; 

(3) 设 有 单位 元 为 e,YaEZ, 则 a 二 a * e=e* a=a+et+tae, V e=— ае. B e=0; 

(4) 设 YaEZ, 若 3a-1EZ, 有 ax а! =а+ а! аа! =e=0, FRV a~ а/(1+а). 
可 以 看 出 一 1 ОТЕ 
因此 ,(Z, * ) 不 是 群 。 

若 一 个 代数 结构 只 满足 封闭 性 和 结合 律 , 则 称 为 半 群 ; 若 这 个 半 群 中 存在 单位 元 , 则 称 
为 单位 半 群 ( 含 么 半 群 ); 一 个 单位 半 群 如 果 满 足 逆 元 律 则 就 成 为 群 。 

因此 例 5. 16 PCZ, * ) 是 单位 半 群 。 同 理 ,(R 一 {0},X) 是 群 ,(R,X) 不 是 群 ,只 是 单位 
半 群 ; (Z, 十 ) 是 群 ,(N, 十 ) 不 是 ,只 是 单位 半 群 。 

模 的 一 个 完 系 与 模 n 的 加 法 构成 的 代数 结构 (Z, ,十 ,) 是 群 ,而 与 模 n 的 乘法 构成 的 
代数 结构 (Z, , X,) 是 单位 半 群 ,因为 0 一定 没有 逆 元 。(Z, — (0). X,) 可 能 是 群 ,也 可 能 不 
是 。 若 nn 是 素数 , 则 ,一 {10} 中 的 元 素 均 与 n 互 质 ,因此 均 有 逆 元 , 则 (Z, 一 10),X,) 是 群 ; 
E n 是 合 数 , 则 ,一 {0} 中 的 因子 没有 道 元 ,因此 (Zz 一 {0),X,) 只 是 单位 半 群 。 

若 一 个 群 满足 交换 律 , 则 称 为 阿 贝尔 (Abel) 群 , 即 交 换 群 。(R 一 {0},X),(Z, 十 ),(R， 
十 ) 等 都 是 Abel 群 ,可 道 和 矩阵 的 乘法 群 不 是 阿 贝 尔 群 。 

定理 5.1 若 (G,* ) 是 群 ,并 且 |G| 二 1, 那 么 (G,* ) 中 没有 零 元 

证 明 : 设 0 为 群 (G, * ) 的 零 元 ,e 为 单位 元 , 则 Vx eG, 均 有 : 工 *e 一 e 关 工 一 工 , 工 关 
0=0 * z=0。 

车 e=0, 则 VYx G,0=zx * 0—2 * e=x, A G={0}), 51GI>1 #)8. 

所 以 e#0,1B e=0 х e=0, 矛盾, 所 以 群 (G.* ) 中 没有 零 元 。 证 毕 。 

因此 ,CR,X) 不 是 群 ,因为 (R,X) 有 零 元 0。 

例 5.17 B(G, *)H RIE: Va,bEG, 有 (ax6)-1=b 7 1x a, 

证 明 : 设 群 (G, * ) 的 单位 元 为 e， 
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Vasb E G,; 有 (bl *a™)* (a*b) = Б! * (а жа) #6 = Б жеж = Б ж = е, 
А (а +6) T=! x a 1。 证 毕 。 

定义 5.9 无 限 群 与 有 限 群 

设 (G, * ) 为 群 , 当 |G| 二 十 > 时 称 该 群 为 无 限 群 ; ЧС = т< совр, А ЕЕ. ВЕ 
G 的 阶 为 n。 

其 中 ,1G| 为 G 中 元 素 的 个 数 , 叫 G ВИ. С (1, —1,2,—2), 0С, XX) 是 4 阶 群 ; 
(R 一 {0},X),(Z, 十 ) 元 素 个 数 无 限 ,为 无 限 群 。 

定义 5.10 元 素 的 阶 

群 G 的 单位 元 为 e,VaEG, 若 3zEZ+ AË а" =e, WEK а 是 有 限 阶 元 素 ,最 小 的 叫 作 
а 的 阶 , 记 为 la| ,否则 称 a 是 无 限 阶 元 素 , 记 |a| 一 十 cc。 

例 5.18 (1) #С=(7,+)'{1,е=0,|С|=|7|=-+Еоо, 

101=1,11= +, |2| =+, Ya 天 0,|al 王 十 ce。 因此 ,单位 元 0 是 1 阶 元 ,其 余 的 
都 是 无 限 阶 元 。 

(2) Ж С= (21, Ба) Ф ,е=0, |G| = 12, 1=12. 

101=1,111=12,121=6,131=4,141=3,151=12, 

161=2,171=12,181=3,|91=4,1101=6,1111=12, 

【请 你 注意 】 运算 的 简写 

群 G=(Z, 十 ) 中 ,有 31 王 3,32 一 6,35 一 15,3-5 一 (3-1)5 一 (一 3)5 152 

Ж С= (21, Бъ) Ф, 31=3,32=6,35 =3,3-5 = (3-1) =95=9, 

0] 5.19 #(7;.Х;),77 ={1,2,3,4,5,6}, Ух. уЄ27 ,xzX1y 二 x Xy(mod 7), $t 
中 ,|1|=1,|2|=3,|3|=6,|14|=3,15|=6,16|==2, 因 此 1 是 1 阶 元 ,3 和 5 是 6 阶 元 ,2 和 
4 是 3 阶 元 ,6 是 2 阶 元 。 

例 5.20 群 (Zo ,十 6) ,Zo 二 {0,1,2,3,4,5}, Vx,yEZosx 十 sy 二 x +ylmod 6), 其 中 ， 
10|=1,11|=6,|12|=3,|3|=2,14|=3,15|==6, 因 此 0 是 1 阶 元 ,1 和 5 是 6 阶 元 ,2 和 4 
是 3 阶 元 ,3 是 2 阶 元 。 

例 5.21 在 一 个 群 (G, * ) 里 ,车 a==a-! ,请 计算 |a|。 

解 : 设 群 (G, x ) 的 单位 元 为 e.a*a =е=а?. Ы |а| 12. 01а =1 9 2. 

车 a==e, 则 |a|==1; 否则 |a|==2。 

定理 5.2 元 素 阶 的 基本 性 质 

(1) #la|=n, W] а" =е KHA Чл т; 

(2) lal=|a |; 

(3) # la| =n, W Y mE Z, |а" | =п/ (п.т); 

(4) ас. 

例 5.22 和 群 (Ze ,十 *),Ze 王 (0,1,2,3,4,5},VzyyEZe,z 十 sy 二 ZX 十 y(mod 6), 其 中 ， 
11 三 6, 所 以 有 


121=|1 |1=|11|/(2,11|)=3 
13 1=1 1° 1=111/6, 11р) = 2, 
аре 1“ 1=111/6, 1115 = 3 


|р =з = [ 765, 11006: 
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[0 [= 1 1 1=111/66, 110) =1 

例 5.23 求证 : (С. x ) 是 交换 群 , 若 |a| 与 15| 互 质 , 则 |a*6b| 二 |a| * 101. 
证 明 : 设 k=|lax6|,t 二 16|,s 二 la|, 所 以 (a * 0) =а* =b =е, 
HA ax*b=bx* a, (а * b)" =a" xp 一 exe 一 ce, 所 以 人 lts， 
AH e= (а * b) =a" ж Б =e ж b = RVA thks, 
因为 (ts) 王 1, 所 以 zlA, 同 理 ,s*|A, 因 为 (ts) 一 1, 所 以 三 | 人， 

所 以 k= 二 ts。 证 毕 。 

实际 上 , 例 5. 23 可 以 与 定理 3.2(7) 相 互 印证 。 

【进一步 的 知识 〗 元 素 的 阶 在 密码 学 中 的 应 用 

密码 分 析 是 一 门 研究 在 不 知道 正常 解密 时 所 需要 的 密 钥 的 情况 下 ,对 被 加 密 的 密 文 信 
息 进 行 解密 的 科学 。 虽 然 其 目标 自古 以 来 都 一 样 ,但 实际 使 用 的 方法 和 技巧 则 随 着 密码 学 
变 得 越 来 越 复杂 而 日 新 月 异 ,与 密码 学 共同 进化 。 总 是 有 新 的 密码 机 制 被 设计 出 来 并 取代 
已 经 被 破解 的 设计 ,同时 也 总 是 有 新 的 密码 分 析 方法 被 发 明 出 来 以 破解 那些 改进 了 的 方案 。 
事实 上 ,密码 和 密码 分 析 是 同一 枚 硬币 的 正 反 两 面 : 为 了 创建 安全 的 密码 ,就 必须 考虑 到 可 
能 的 密码 分 析 , 成 功 的 密码 分 析 不 仅 能 恢复 出 消息 的 明文 或 密 钥 ,还 可 以 发 现 密码 体制 的 

密码 分 析 有 唯 密 文 .已 知 明文 .选择 明文 、 选 择 密 文 、 选 择 文本 等 5 种 情形 ,这 里 不 再 深 
人 展开 ,只 介绍 一 个 简单 的 密码 分 析 的 方法 : 定点 攻击 。 

以 凯撒 密码 为 例 , 若 明文 为 M, 密 文 为 C, 加 密 机 制 为 : С М-З тоа 26), 则 “good” 将 
被 加 密 为 “jrrg”。 如 何 将 "jrrg” 解 密 恢复 成 “good” 呢 ?一 种 方式 当然 是 利用 解密 公式 : M= 
C 一 3(mod 26) 直 接 计算 。 如 果 不 知道 解密 算法 和 密 钥 呢 ? 可 以 不 断 将 输出 的 密 文 输入 加 
密 算法 ,重复 迭代 进行 加 密 , 如 下 表 所 示 。 


第 1 次 被 加 密 成 为 muuj 第 15 次 被 加 密 成 为 ckkz 
第 2 次 被 加 密 成 为 pxxm 第 16 次 被 加 密 成 为 апе 
第 3 次 被 加 密 成 为 saap 第 17 次 被 加 密 成 为 iqqf 
第 4 次 被 加 密 成 为 vdds 第 18 次 被 加 密 成 为 ltti 
第 5 次 被 加 密 成 为 yggv 第 19 次 被 加 密 成 为 ому] 
第 6 次 被 加 密 成 为 bjjy 第 20 次 被 加 密 成 为 rzzo 
第 7 次 被 加 密 成 为 еттЬ 第 21 次 被 加 密 成 为 uccr 
第 8 次 被 加 密 成 为 hppe 第 22 次 被 加 密 成 为 xffu 
第 9 次 被 加 密 成 为 kssh 第 23 次 被 加 密 成 为 aiix 
第 10 次 被 加 密 成 为 nvvk 第 24 次 被 加 密 成 为 dlla 
第 11 次 被 加 密 成 为 чууп 第 25 次 被 加 密 成 为 good 
第 12 次 被 加 密 成 为 tbbq 第 26 次 被 加 密 成 为 jrrg 
第 13 次 被 加 密 成 为 weet 第 27 次 被 加 密 成 为 muuj 
第 14 次 被 加 密 成 为 zhhw 第 28 次 被 加 密 成 为 : pxxm 


“jrrg” 被 加 密 成 为 密 文 “muuj”,“muuj” 被 加 密 成 为 密 文 “pxxm”,“pxxm” 被 加 密 成 为 密 
文 “saap”…… 在 第 26 次 中 输出 的 密 文 “jrrg”, 说 明 本 次 输入 的 明文 (前 一 次 的 密 文 )“good” 
就 是 需要 求解 出 的 明文 。 
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如 果 加 密 机 制 调整 为 : C 一 M 十 2Cmod 26) , 则 待 解密 的 密 文 变 为 “iqqf”, 上 述 解密 过 程 
A H “iqgf”—>“kssh”—>“muuj”—>“owwl”—>“qyyn”—>“saap”—>“uccr”—> “weet”—>“yggv”—> 
“aiix”—>“ckkz”—“ewwb”—>“good” —>“iqqgf” . 当 输 出 的 密 文 再 次 出 现 “iqqf” 则 解密 过 程 停 
止 ,前 一 次 密 文 “good” 即 为 所 求 的 明文 。 

上 述 迭 代 过 程 可 以 用 公式 表示 为 : М, =M; +k(mod 26), 若 М, = М, , 则 已 恢复 出 明 
文 , 迭 代 停 止 。 此 时 意味 着 &Xi(Cmod 26) 二 0, 因 此 , 当 k==3 时 ,最 小 的 i 为 26, 重 复 26 KE 
代 操 作 后 ,可 以 恢复 出 明文 。 当 二 2 时 ,最 小 的 i 为 13, 重 复 13 次 迭代 操作 后 ,可 以 恢复 出 
明文 。 

实际 上 ,C 二 M 十 k(mod 26) 加 密 是 在 群 (Zx ,十 ss; ) 上 定义 的 ,迭代 循环 的 最 小 次 数 i 即 
为 & 的 阶 |k| ,由 定理 5-2 可 知 ,|k||126。 因 此 可 以 只 判断 第 13 次 和 第 26 次 迭代 加 密 出 的 
数据 是 否 是 明文 ,将 密 文 迭代 加 密 最 多 经 过 26 次 后 ,一定 可 以 恢复 出 明文 。 显 然 , 对 于 计算 
机 处 理 来 说 凯撒 密码 是 极端 不 安全 的 。 

对 于 RSA 密码 机 制 ,也 可 以 进行 同样 的 密码 分 析 处 理 。 如 取 两 个 素数 ЯП 分 别 为 
11 和 17, 加 密 指数 e 为 3, 则 加 密 密 钥 为 (187,3) ,解密 密 钥 为 (187,107)。 加 密 机 制 为 : C= 
М? (тоа 187) ,解密 机 制 为 : M=Cl (mod 187)。 输 入 字符 串 “good” 将 按 字 母 被 加 密 为 
“Vddo”。 如 果 不 知道 解密 密 钥 ,可 以 将 密 文 作为 明文 进行 迭代 加 密 :“Vddo” >—“Eood”—> 
“éddo”>“good” 一 “Vddo”, 经 过 4 次 迭代 后 ,可 解密 出 明文 为 “good”。 

Ж#ҮхЄС,ДҖ x= 2" (mod 187), Ё 2 = 2* (mod 11) В х = 2* (mod 17)。 故 


3 一 1(mod 2) А 
3 一 1(mod 10) 3 一 1(mod 5) 
=>; 3'=1(mod 5) > =3‘=] (mod 80), 
3'=1(mod 16) 3 3 一 1Cmod 16) 
3 一 1Cmod 16) 
故 最 小 的 ;一 4。 
再 取 e 为 7, 有 z==zx (mod 187), 
7' = 1(mod 2) 
7° = 1(mod 10) 7° = 1(mod 5) i = 0 (mod 4) 
=>; 7' = 1 (mod 5) > = ， 
7 一 1Cmod 16) 7 = 10тоа 16) |i = 0(mod 2) 
7° = 1(тоа 16) 
故 最 小 的 ;一 4。 
如 改 取 两 个 素数 户 和 4 分 别 为 11 和 19, 加 密 指数 e 为 7, 若 VzEC, 有 zz 一 z7 (той 
209) , 故 
7' = 1(тоа 2) _ 
“一 1Cmod 10) i = 0(mod 4) 
=>17' = 1(mod 5) 之 =i = 0 (mod 12), 
7° = 1(mod 18) i = 0 (mod 3) 


7 = 1(mod 9) 

故 最 小 的 ;一 12。 

实际 上 ,C 二 Mr (mod pp WME EEEH Za ,XX。,) 上 定义 的 ,上 述 迭 代 过 程 可 以 用 公式 
表示 为 : 

C: = С = С (mod pq) (5-4) 

ЖЇК ЖЕН .С,= С, 。 

若 (C,pg) 二 1, 记 |1C|==k,e' 二 1(mod 有 ), 即 i 取 的 最 小 值 为 单位 交换 半 群 (Z,X) 上 ee 
的 阶 。 
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由 于 |e| |k,klg(pq) 二 (p 一 1)(g 一 1), 因 此 RSA 要 求 两 个 素数 p 和 g 必须 满足 p 一 1 
和 g 一 1 奇 素 因子 是 大 素数 。 

车 改 取 两 个 素数 р 和 g 分 别 为 167 和 563, 加 密 指 数 e 为 3, 和 迭代 次 数 i 二 11 480。 这 实 
际 上 是 因为 167 一 1 一 83X2,563 一 1 一 281X2.83 和 281 均 为 素数 。 

定义 5.11 Т 

设 (G, * ) 为 群 ,A 为 G 的 子 集合 ,G 的 单位 元 eEA,(A,* ) 构 成 群 , 则 称 (A, * ) 为 
(G,x ) 的 子 群 , 记 为 (A,x* ) 委 (G,x )。 

若 A 为 G 的 真子 集 , 则 记 为 (A,* ) 二 (G,* )。A={e} 以 及 G 自身 是 G 的 两 个 平凡 子 
群 ,其 他 子 群 都 称 为 非 平凡 子 群 。 

(2, 1) (2, +), ХА (0,13), СА, +26) < (Zes ,十 26)。 

例 5.24 给 定 集合 Zi: 王 (0,1,2,3,4,5,6,7,8,9,10,11} ,定义 运算 十 js: Vz,yE€ Zs， 
ZX 十 zy 二 xX 十 y(mod 12) ,判断 下 面 的 集合 S;, 是 否 是 (Zs ,十 ) 的 子 群 。 

(1) 8,={0,2,4,6,8,10}; 

(2) = 

(3) 5,={0,3,6,9}; 

(4) S,={0,5,10}。 

解 : (1) Si 对 运算 十 封闭 ,单位 元 0€ Si1.0 和 6 的 道 元 分 别 是 自身 ,2 与 10、4 与 8 互 
为 逆 元 ,所 以 , CSi s Hi) <les Hi); 

(2) 1 十 2:3 二 4 S: ,所 以 5; 不 能 构成 (Zis ,十 2 ) 的 子 群 ; 

03) Ss 对 运算 十 1 封闭 ,单位 元 0€ S;,0 和 6 的 逆 元 分 别 是 自身 ,3 与 9 互 为 道 元 ,所 
ЇЙ eT )<( A 

(4) 5+ь10=3@5,.ТЬД S, 不 能 构成 (Zio ,十 12) 的 子 群 。 

【你 应 该 知道 的 】 

如 果 A ЖС 的 有 限 非 空 子 集合 , (A, * ) 封 闭 , 则 (A,* ) 三 (G, * ) ,如果 A EERE, 
则 上 述 结论 不 能 成 立 。 

例如 ,(Z, 十 ) 是 群 ,N 对 十 封闭 ,N 是 Zz 的 子 集 ,但 (N, 十 ) 不 是 (Z, 十 ) 的 子 群 ,因为 自然 
数 在 加 法 运算 下 没有 逆 元 。 

可 以 通过 不 断 引入 新 的 元 素 ,使 集合 运算 封闭 来 生成 子 群 ,如 对 于 (Zis ,十 >) ,最 小 的 能 
构成 子 群 的 集合 为 A= (е) = (0) EE A 中 引入 新 的 元 1 生成 子 群 B, 则 {0,1}SB, 而 1 十 1 二 
2EB, 同 理 ,1 十 1 十 1 二 3€ Be- R В = 2. ME. E A 中 引入 新 的 元 4 生成 子 群 C， 
则 {0,4} 己 C, 则 4 十 4 二 8EC,4 十 4 十 4 二 0€EC, 此 时 集合 封闭 ,因此 С {0.4.8}. 
因此 可 以 通过 群 的 某 一 元 素 的 运算 徊 序列 来 生成 子 群 。 

例 5.25 给 定 集合 Zs=={0,1,2,3,4,5,6,7,8,9,10,11}) ,定义 运算 十 jo: VzyyEZiz， 
ZX 十 zy 二 Xx 十 y(mod 12) ,请 给 出 (Zs ,十 >) 的 所 有 子 群 。 

解 : (1) 5,={1,2,3,4,5,6,7,8,9,10,11,0}= {11:62}; 

(2) 5,= {2,4,6,8,10,0}= {2:|i€ Z}; 

(3) S;={3,6,9,0}= {37|i€E 7}; 

(4) 5,= (4,8,0) = {41:62}; 

(5) 5;= (6 (61:62); 
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(6) Se={0}={0 1:62}. 
对 iE[1,6], 均 有 (Si, 十 i) 过 (Zis ,十 12)。 
ЕЖ, ВП 1:62) = (51:62) = (71:62) = (11 |i€ 7}; (21:62) = (10 liE 
Z}; (31:62) = (91:62); (41:62) = (81:62). 
ха, 111=151=171=1111=12,121=1101=6,131=191=4,141=181=3. 
定义 5.12 循环 群 
ERG 中 的 每 个 元 都 能 表示 成 一 个 元 a ОЕ. ДЕ С 为 由 a 生成 的 循环 群 , 记 作 G= 
<а>,а 称 为 G 的 生成 元 。 
【请 你 注意 】 
(1) <a> = {a |k EZ}, =e, X ТЇЙ а ЮЖ а WAE”, Ва ,а "= 
„шы an 
(2) a 生成 的 循环 群 的 阶 等 于 生成 元 a 的 阶 。 如 (Zs, 十 1s) 中 ,| 二 1 二 |=11|=12， 
|<3>>|=|13|=4,|<6>>|1=161=2。 
(3) 循环 群 的 生成 元 未 必 了 唯一。 如 (Zs Б) 1252,00, 6) 126-1, 
(4)<a >2=<ат>, 02, +) =<1>2=<—1>,(2,+) =<1>=<7>, 
(5) 循环 群 总 是 交换 群 , 它 可 能 是 无 限 群 或 有 限 群 。 
(6) 群 G 中 任 一 个 元 a 生成 G 的 一 个 循环 子 群 二 a 二 ,如 二 2 二 ==({0,2,4,6,8,10)， 
A 
(7) 如 果 G 是 n 阶 群 , 它 的 子 群 二 a 二 的 阶 为 d, 则 dln 
【进一步 的 知识 
(1)|а|==о><а>®(27,+); 
(2) |а| =n><a>2 (2,, +,); 
(3) ЕЕК Са AAPEEE а Жа; 
(4) IF n MRa A а айо 全 (7,n) =1. п АЕ а E 
成 元 有 Ф(п) 1%; 
(5) 阶 是 素数 的 群 一 定 是 循环 群 。 
例 5.26 对 群 A=(Z, 十 ) 有 IA|=|1Z|== 吕 ,e==0, 有 : 
(1) ++,|—2|=осо,|—1|=осо,|0|=1,|1|=ос°о,|2|=оо,...; 
(2) .-.,27° 6,272 Га. 2,29=0,21=2,22=4,28=6,--.; 
(3) <02= 00}, +); <1>=(2,+)=<—1>; <= (23, 十) 一 一 一 2 二; 
УпЄ 2, п> = (2, , +) ,2, = {kn|kEZ)}; 
(4) [<02> |= 101=1,1<1>|= 11 =, |<а> |= |а| =оо, 
【思考 】 
前 面 讲 到 ,由 群 中 任意 一 个 元 素 可 以 生成 这 个 群 的 一 个 子 群 ,如 二 2 二 二 ({0,2,4}) ,十 6) 三 
,十 。) ,那么 若干 个 元 素 组 成 一 个 集合 是 否 能 生成 子 群 呢 ? 
如 群 G=(Zs ,十 6) ,B= 二 {1,2) ,你 能 计算 出 天 B> 吗 ? 
ШЖ В= (2,3) 087 你 能 模仿 二 ua 一 {wo|AEZ} 写 出 二 B> 的 公式 吗 ? 
АТ {ЕЖЕ G ATES Х={л,Є[1.,п].пЄ 7}. Ж<Х>=<хл>\)<х,„>\().- 
П<х„ >R? 如 G= (Zz ,十 12) X= (2,3), <X>=<2> U <3 >X? 


(Z 
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定理 5.3 子 群 判定 定理 
有 群 G, 若 非 空 集合 HOG, HKG 的 充 要 条 件 是 Va,bEH, 有 ab EH, 
证 明 : (œD HKG.MYLEH Ab 1E 昌 ,所 以 Ya€EH, 有 ab GE 万 。 
(<) Va bEH, A а EH, ik С 的 单位 元 为 e, 所 以 可 取 0 一 a, 有 e 一 aa ЄН, 
所 以 HARE. 
Уає H.H а -一 eamE 五 ,所 以 万 的 每 个 元 均 存在 逆 元 ; 
Ya, bEH H b EH, A ab=ab 1) EH, V H 运算 封闭 ; 
Va,b.cEH,abc, alb) E€ Н.[Я 5 GERMI 日 运算 满足 结合 律 。 
所 以 Н, НСС. НЕС, 证 毕 。 
例 5.27 设 G 是 有 限 交 换 群 ,e 是 G HRAL. Æ lG HAF. S= {xla =e, x EGR 
WE: SSG., 
证 明 : AA е" =e, f еЄ 5. 
AA С &Я RHR. A VaES. Ala)" 一 aa) 一 (aa \)"=е,. а ES, 
即 Ya,b5ES, 有 (ab )" =a" (b7! )" =e, AV ab ES, 
所 以 根据 定理 5.3,S<G。 证 毕 。 
如 对 G= (Zz, 十 i) ,1G| 二 12,n 可 取 12 的 因子 ,分 别 为 1.2、3、4、6、12, 对 于 S, 一 {zx| 
ZX" 二 e,XEG} 有 5,<С. 
从 元 素 的 阶 的 观点 来 看 т" 二 e, 根 据 定理 5.2,|zx||n。 
ШЖ е=0,0!=0,1#=0,2%=0,3*=0,45=0,5'#=0,6%=0,7'#—=0,8° =0,9* =0,10=0, 
11*=0。 
所 以 5, = (0) ,5, = (0,6},5; = {0,4,8),5, = (0,3,6,9},5; = (0,2,4,6,8,10},5,=С. 
01 5.28 设 H<G, 令 xzHzr = (хаа |һЄН.хЄС).Ж1Е: На KG. 
证 明 : 因为 НСС, С 的 单位 元 为 e, 所 以 eEH, 则 e==zxzer ErHr™ , 
而 Yh€EH,rEG 有 e 一 exhx ! 一 +hx е. ЖЫ Нах 有 单位 元 e; 
因为 YhAEH,xzEG, 有 zhzx 1€ExHz 1!1,h IE 万 ,所 以 zi ziEzHz 1， 
所 以 zhzr (ah x)= xh h a 一 e, 即 (zhz !) !=zh LIz 1， 
所 以 zHFz 一 的 每 个 元 均 存 在 逆 元 ; 
因为 Yh,hsEH,rEG, 有 zhzr ziz 'ErHr ,My: 
хх (хх 1) l=zhr txh; 'x х\к), 
因为 HKG, A hihi’ E€ Н. хх (хах) ЄхН=х!. 
所 以 根据 定理 5. 3,zHz (С. ШЕФ. 
如 对 G= (Z, +H) ,根据 前 面 的 分 析 互 可 取 Н, = (0). Н, = (0.6). Ha = (0,4,8), 
Н,=({0,3,6,9), Н; = {0,2,4,6,8,10},Н,=С. V: 
хНух={х+30+3х7!)=(0}=Н;; 
xHx ={xrt+0 tir! serttir} = (0,6) =Н,; 
хНзх = (хид tner ertr trr s etter} = (0,4,8) =H; 
ZH4iz-1 一 {Z 十 iz0 十 zz-1,z 十 iz3 十 zz-1z 十 tiz6 十 zz-1,z 十 lz9 十 zz-1} 一 {0,3,6,9) 
三 Hs 


х«Нух”®={х+и0+ и stultas 142 sæta tar setus tier’, 
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+ 10+шх%}={0,2,4,6,8,10}=Н;; 

xXHer !=G=H,; 

这 是 因为 G 一 (Zi ,十 ) 具 有 交换 律 ,所 以 zxHz =H., 

定义 5.13 ЕФ 

设 HKG, YVaEG. ER аН={аһ\ҺЄ H) {ЕС Н 的 左 陪 集 ,aH 中 的 元 素 叫 作 aH 
的 代表 元 ,对 应 的 Ha 叫 作 G Н 的 右 陪 集 , Ha 中 的 元 素 叫 作 Ha 的 代表 元 。 如 果 ан = 
На,аН MEG Н HÈR, H MEG 的 正规 子 群 (不 变 子 群 ), 记 作 НАС. 

对 群 (Z, 十 ) , 模 3 的 剩余 类 为 0(mod 3)、1(mod 3)、2(mod 3), 记 为 [0],,[1]s 和 [2];， 
按照 剩余 类 可 以 将 Z 进行 分 类 : Z: 王 人 [0]:,[1]:,[2]:) ,利用 群 的 思想 分 析 此 分 类 ,发 现 以 
下 两 个 结论 。 

(1) 分 类 中 存在 一 个 特殊 类 [0], 一 {…, 一 6, 一 3,0,3,6,…), 它 是 群 (Z, 十 ) 的 子 群 ,(Z， 
十 ) 的 单位 元 是 它 的 单位 元 , 除 此 之 外 其 余 的 类 都 不 是 (Z, 十 ) 的 子 群 。 

(2) 每 个 类 都 是 子 群 C0]; 的 陪 集 : [k] =k [0]s,k 二 0,1,2。 

因此 陪 集 可 以 认为 是 利用 子 群 对 群 进行 分 类 。 

例 5.29 RECZ, +) itn :>1,пЄ 7.4; H=nZ, W) HKG, Маєс. # аН=а+ 
nnZ 二 {a 十 nklkEZ})。 这 个 陪 集 就 是 模 的 剩余 类 Ca 。 

例 5.30 1С= (2, +r) # Н= (0,6), HKG. M aH 分 别 为 : 0+ H=1{0,6}, 
1+ H={1,7}, 2+ H={2,8},3 + H={3,9},4+1 H={4,10},5+ H={5,11},64 
„Н= (0,6),7+,.Н= {1,7},8+,Н= {2,8},9+,. H= {3,9}, 10+ H= {4,10},114 
2 Н (5,11), ЖОЕ 6 个 ,每 个 陪 集 的 阶 均 为 2。 

相似 地 , 若 H= (0,4,8),0+. H={0,4,8},1 +2 H={1,5,9},2 +1 H= {2,6,10}, 
3+ H={3,7,11},4+2H={0,4,8},5+ H={1,5,9},6+ H= {2,6,10},7 +: H= 
{3,7,11},8+,.Н=(0,4,8},9+,,Н={1,5,9),10+,.Н={2,6,10},11+,Н=({3,7,11}, 
不 同 的 陪 集 有 4 个 ,每 个 陪 集 的 阶 均 为 3。 

定理 5.4 左 陪 集 的 性 质 

САНЕ, НСС, Ya,bEG, 有 : 

(1) аан 有 IGI/1HI 个 ; 

(2) #аєн.ан=На=нН; 

(3) #baE н. аН=ьЬН. ИЙ аНП0ьНн= 0; 

(4) 不 相交 的 左 陪 集 的 并 集 为 G。 

PG 中 每 个 元 素 一 定 属于 且 仅 属于 一 个 左 陪 集 , 可 以 按照 子 群 Н 的 左 陪 集 将 群 G Ж 
行 分 类 , 称 为 群 G 关 于 五 的 左 陪 集 分 解 ; 分 类 中 除了 H h EATE. 

右 陪 集 具有 与 左 陪 集 相似 的 性 质 ,此 处 从 上 略 。 

定理 5.5 左 陪 集 和 右 陪 集 的 对 应 关系 

车 G 是 有 限 群 ,HG, 有 : 

(1) G 中 互 的 任意 两 个 陪 集 元 素 个 数 相等 ; 

(2) GF H 的 左 陪 集 个 数 和 右 陪 集 个 数 相等 。 
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如 例 5. 29 С (21: tH), H={0.6}, HIG. KARRE aH A |G|/|H|=12/2= 
6 个 ,分 别 为 : {0,6}、{1,7}、{2,8}、{3,9}、{4,10} 和 {5,11}。 

这 6 个 陪 集 具 有 两 个 特点 : 不 相交 、 并 集 为 G, 可 以 实现 对 G 的 一 个 划分 。 划 分 的 结果 
称 为 商 集 G/H={{0,6},{1,7},{2,8},{3,9},{4,10},{5,11}}= {[0], [1]; [2]; [3]; [4]; 
[5]} , 读 作 G mod Н,#161/1Н1=16/НІ. 

商 集 与 运算 * 构成 商 群 ,运算 * 定义 为 : Va,bEG, 则 aH,bHEG/H, 有 aH *bH= 
ан, [ИЕ {%%(7,,/10,6}.,-_1;)Ж Е. Сй / (0.6). +.) 

【进一步 的 知识 】 

RAAR G/H 5G 自然 同 态 , 与 (Z,, 十 ,) 同 构 。 因 此 有 (Zs/{0,6}), 十 6) 实 (2Z6， 
十 6),(Ziz/{0,4,8} ,十 ) 实 (2,,+,). 


5.3 置换 群 


在 介绍 置换 群 之 前 , 需 首先 了 解 一 下 变换 的 概念 。 从 集合 A 到 自身 的 一 个 一 一 对 应 的 
映射 , 称 为 对 集合 A 的 一 个 变换 。 变 换 构成 的 集合 对 于 变换 的 乘法 (复合 变换 ) ,构成 一 个 
群 , 称 为 A 上 的 变换 群 。 

定义 5.14 置换 群 

一 个 有 限 集合 的 一 个 一 一 变换 叫 作 一 个 置换 。 若 干 个 置换 构成 的 群 叫 作 置换 群 ,置换 
群 上 的 运算 为 复合 变换 运算 。 

一 个 包含 п 个 元 的 集合 的 所 有 置换 构成 的 群 叫 作 n 元 对 称 群 。 

如 第 3 章 原 根 与 指数 中 ,以 模 7 的 原 根 3 生成 模 7 的 缩 系 如 表 5-1 所 示 。 


表 5-1 以 模 7 的 原 根 3 生成 模 7 的 缩 系 


[4 1 2 3 4 5 6 
а=3* 3 2 6 4 5 1 
这 其 实 是 集合 А= (1,2,3,4,5,6) Ей “9 /: А-А, 701) =3, 702) =2, 303) = 


6,700) =4, 705) =5, 706) =1. [ДЖ ЖЪЪ — ЖАНЕ. 
-( 2345 | 
ThB 26 4 5 1 
还 可 以 用 模 7 的 另 一 个 原 根 5 生成 模 7 的 缩 系 ,如 表 5-2 所 示 。 
表 5-2 ”以 原 根 5 生成 模 7 的 缩 系 


1 2 3 4 5 6 


а=5* 5 4 6 2 3 1 


这 其 实 是 集合 A 二 {1,2,3,4,5,6} 上 的 另 一 个 双 射 g: A 一 A,g(1) 一 5,g(2) 一 4， 
g(3) 一 6,g(4) 一 2,g(5) 一 3,g(6) 一 1。 可 以 将 其 写成 一 个 置换 : 


р 
"Б 4-62 81% 
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显然 ,n 元 对 称 群 的 阶 为 a!1。 如 2 元 对 称 群 中 有 两 个 元 : 


3 元 对 称 群 中 有 6 个 元 : 


(i 2 2) (i 2 
w 一 . а 一 
1 2 3 1 1 
|， 2 |] f ‚| h 2 |) 
w, = , = . © = ° 
2.3 1 3 2 3 2 1 
因为 g(g(1))=g(5)=3,g(g(2))=g(4)=2,g(g(3))=g(6)=1,g(g(4))=g(2) 
4,g(g(5)) 二 g(3) 二 6,g(g(6)) 二 g(1) 二 5。 可 以 更 直观 地 记录 为 如 下 的 形式 : 


p- [12345 623456 
РТР РР 
12345 6/5 46231 123456 
-faero Gorras ОО. 
同 理 ， 
12345 6\/1234556 
«= «в» Ороо) 
人 6 
РО БЕРРИ Фф Фф! 
注意 ,置换 群 (变换 群 ) 不 一 定 是 交换 群 。 
12345 Nl 283 4 5 6 
nl Мор, 
(123 45 6/32 64 5 1] [123456 
РРР ORE 
3 от 
, [12345 612 3з 45 6) (123456 
ре Ие ао: 
~ нези 
546231 123456 645213 


【进一步 的 知识 】 置换 密码 

可 以 使 用 一 个 置换 实现 简单 的 加 密 功 能 。 

1 2 3 4 

4123 

改变 明文 的 字母 本 身 ,改变 的 是 位 置 , 即 在 第 2 章 中 介绍 过 的 换 位 式 密码 。 
ABCDEFGHIJKLMNOPQRSTUVWXYZ 

mon: [ ). 

VFCPKGQNHEUYZSOAWBDRXMITJL 

16 234 567 8 еер 


Plin, “MAGAZINE” Ñ ЗЧ o= ( Jarm“ AGAMINEZ", 加 密 过 程 没 有 


22 6 3 16 11 7 17 14 8 5 21 25 26 19 15 1 23 2 4 18 24 13 9 20 10 12 


пг —— 


“MAGAZINE” 被 加 密 成 为 ZVQVLHSK”, 这 个 过 程 改变 的 是 明文 每 个 位 置 的 字母 的 值 ， 
即 第 2 章 中 介绍 过 的 代替 式 密码 。 
凯撒 密码 的 加 密 算法 为 C=M+3mod 26) ,也 是 一 种 代 蔡 式 密码 ,可 以 用 置换 表示 为 : 
123456 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 
pooti 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 1 2 s) 
无 论 是 换 位 式 密 码 ,还 是 代替 式 密码 ,如 果 已 知 加 密 的 置换 ,应 该 如 何 实现 解密 呢 ? 
【思考 】 
前 面 研究 的 都 是 一 个 置换 ,那么 ,你 能 写 出 置换 群 二 > ,二 rz ,二 {c,r) 二 吗 ? 


123456 123456 123456 123456 
<o>= А А , ; 
546231 321465 645213 123456 


| Ж 123456) (123456 
<е> йени ии аш. йж я [| )-( |a 


123456 5-4 622a 
12345 6 Da 12 3 4 5 6 їз 4 5:06 a 
( яш». | Ja( Jean 
6452 1 3З | 2: Ж 4 5-6 з йй 46 55 


身 , 因 此 二 c> 构 成 置换 群 。 


123 4 5 6 123 4 5 6 123 4 5 6 
HH, <> = b A ; 
3 2 6 4 5 1 621453 


1НЖ,<{о,г}>#&<г>\)<о]>, 
< {o,r} >= (П о®% а € Z} 


12345 23456} (12345 6} (123456 
е ои ер. 
2345 23456} (123456 (123456 
ГОРИН ОИН kaerra) 
12345 2345 6} (12345 6 (123456 l 
РИН А el 
12345 23456} (12345 6} (123456 
[esac Мы ы С азы кимы 


【不 妨 一 试 】 

显然 ,因为 |<o 二 |==4,1<r>|==3, 动 笔 计算 <o 二 > 和 二 tr 一 难度 不 大 ,但 计算 二 {o,r) 二 的 
运算 量 是 非常 大 的 ,还 很 容易 出 错 。 

你 能 设计 一 段 程序 实现 生成 置换 群 的 运算 吗 ? 

上 述 置换 群 的 表示 方式 其 实 是 非常 烦琐 的 ,可 以 利用 轮换 来 简化 运算 。 

定义 5.15 轮换 

设 o 是 集合 A 的 置换 , 若 可 取 到 A 的 元 素 al -аг. "а, о(а)) =аг 00а) аз." 
с(а, 1) а, 00а, 1) а.о ЖЕУ А 的 其 余 的 元 素 , 则 о 称 为 一 个 轮换 , 记 为 (aaz…ar) 。 

定理 5.6 每 一 个 置换 都 可 以 分 解 成 若干 个 互相 没有 共同 数字 的 轮换 的 乘积 。 若 不 计 
因子 的 顺序 , 则 分 解 式 唯一 。 
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称 互相 没有 共同 数字 的 轮换 为 不 相交 。 
12-34 5.6 

Bi 5.31 一 | ]-азө@арв=а зв) 
3 26 4 5 1 


=(3 6 1)=(6 1 3); 


123456 
p 46231 

【请 你 注意 】 

(1) 轮换 的 表示 与 顺序 无 关 , 这 是 因为 ,每 个 循环 置换 都 可 视 为 一 个 首尾 相 接 的 圆 环 ， 
但 习惯 上 ,把 一 个 轮换 中 最 小 的 数字 排 在 第 一 位 。 

(2) 置换 分 解 时 ,长 度 为 1 的 轮换 可 以 省 略 不 写 ,如 (1 3 6)(2)(4)(5) 一 (1 3 6); 单位 
置换 (人 恒 等 置 换 ) 习 惯 上 写成 (1) 。 


)-а 536)(2 4), 


2 
(3) 轮换 表达 形式 简洁 ,但 可 能 引起 混淆 ,如 (1 2) 可 能 是 表示 | : 1 "也 可 能 是 表示 


| 1 因此 应 说 明 集合 元 素 个 数 ,如 3 ERRA DM o=, | s): 


(4) 一 个 置换 的 阶 等 于 其 分 解 出 轮换 中 最 长 的 轮换 的 长 度 。 如 r= 二 (1 3 6), W lel =3; 
с= (15 3 6)(2 4), || =4. 
【进一步 的 知识 〗 轮换 计算 的 一 些小 技巧 
(1) (ab)lab)=(1); 
(2) (ab) =(ab), (abc wij) =(aji* cb); 
(3) (ab)(ac)=(ab ec)=(ac) (be); 
(4) (abcd) (abcd)=(acb); 
(5) 当 (a5) 与 (cd) 两 两 不 等 时 ,(a Б) са) (аЬ) = (са). 
例 5.32 (1) (abc)labc)=(lab)lac)lac)(bc)=lab)(bc)=(ba)(bc)=(ba c) 
(асб); 
(2) (абс) = (асђь) (ас) = (ас) (аЬ) (аЬ) (ас) = (1); 
(3) (abcd) (абса) = (ас) ьа); 
(4) (аБса)* = (ас) а) (ас) а) = (1). 
Ф] 5.33 0=(1536)(2 4). W; 
o = (15 3 6)(2 4) (153 6)(2 4) = (15 3 6)(1536) = (1 3) 65 6); 
o™ = ((15 3 6) (2 4))™ = (1 5 3 6)! (2 4) = (163 5)(2 4); 
[0 1=1<о21= 101536) 0 4) |= 4. 
例 5.34 求 正方 形 的 对 称 变换 群 。 
解 : 正方 形 的 对 称 变换 有 以 下 两 种 。 
(1) 分 别 绕 中 心 点 按 逆 时 针 方向 旋转 90" ,180" ,270 ,360 ; 
(2) 关于 直线 Li ,1 ,Ls ,Ls 的 镜面 反射 。 
为 了 用 置换 来 表示 正方 形 的 对 称 变换 ,用 数字 1、2、3、4 来 代表 正方 形 的 4 个 顶点 。 如 
果 对 称 变换 将 顶点 i 变 为 顶点 &, 则 如 表 5-3 和 图 5-1 所 示 。 
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表 5-3 对 称 变换 的 置换 表示 


对 称 变换 置换 表示 
o 表示 绕 中 心 旋转 90° (1234) 石 1 Ls 
中 表示 绕 中 心 旋转 180° (1 3)(2 4) 
ставе 270° 1432) 
a 表示 绕 中 心 旋转 360"( 恒 等 变换 ) а› 
rz 表示 关 于 工 , 的 反射 (2 4) 
己 表 示 关 于 工 :的 反射 (1 2)(3 4) 
тт L; 的 反射 аз› 
表示 关于 工 ,的 反射 (1 4)(2 3) 图 51 直线 的 对 称 变换 
实际 上 ,正方 形 的 对 称 变换 群 为 


С=< (1234) >20< (24) >20< (1 35:>< (1 2563-4) 2>[1)< (1 456023) > 
=<{(198 4),024))} >2=< (23 4у (13У > 
=<{(1234),(12)(34)}:>=< {(12 3 4),(1 4)(2 3)} > 
=<{(1432),(24)}:>=< {(1 4 3 2),(1 3)} > 
=< {(1 4 3 2), (1 2)(3 4)} >=< {(1 4 3 2), (1 4)(2 3)} >. 

【思考 】 

例 5. 34 中 正方 形 的 对 称 变换 群 中 各 元 素 的 最 大 的 阶 是 多 少 呢 ? 

n 元 对 称 群 S, 中 ,各 元 素 的 最 大 的 阶 是 多 少 呢 ? 

定理 5.7 任何 一 个 有 限 群 都 与 一 个 置换 群 同 构 。 

【思考 】 

你 能 构造 出 分 别 与 (Z; 一 {0) ,XX;) 和 (Zi .十 *) 同 构 的 置换 群 吗 ? 

最 容易 犯 的 错误 是 : 因为 三 元 对 称 群 S 的 阶 为 6, 就 认为 6 阶 有 限 群 与 三 元 对 称 群 S 
同 构 。 实 际 上 三 元 对 称 群 S 中 ,有 : 


ЕОС 


(1) 单位 元 (| 2 к. 
1: :2: 28 
| I 2 0122-58 їз 
D их, | || Ыы М ] 分 别 与 自身 互 为 送 元 ， 
1 多 t3 2 213 2 2 I 
| РА т) н; 2 сеи 
2: 8.1 к ЖЕ; 


oms- 3) i DEJ 
sll i DE i Je- iDEN 
TERN HHE 


94 


= (5 5) з ез аш 9048 заа 0] 
{зу а) s h з) 
26 1) 
(2 а) 2 О з 28 а 2) 
(азу з 1) 
se 
(> у 1 dh 2a) 
a IHE JHE E Je 
(22200 dh 
(22 з HG 20620) 
НУТ! 
(Gy 
(1 248 М 2а з 1) 
由 je: 小 


sa f(a JG з js а 9) 
ТЕ ФБ а 3) 


эз (у з 1) 1 39) 
94 айк ы 


可 以 更 简单 地 用 轮换 的 形式 表示 : 
S= 001);(1:2)561.32,62:3)01 2:3);(1:3:2)}: 

(1) 单位 元 : (1) 。 

(2) йл: (1),(1 2),(1 3),(2 3) 都 和 自身 互 为 逆 元 ,(1 2 DMA 3 2) 互 为 逆 元 。 

(3) Ё. 5,={(1)),5,={(1),(1 2)},Ss={(1),(1 3)),5, 一 {(1)，(2 3)},5 = 
{(1),(12 3),(132)},S,=S, 

(4) 子 群 的 阶 : 151=6,15,1=1,15:1=2,151=2,15,1=2,15;1=3,15,1=6. 

(5) 元 素 的 阶 : | (1)|=1,1(1 2) | =2, [01 3)|=2,|1(2 3)|=2,|(12 3)|=3, 
Ia 3 2)|=3。 

(6) ERE: 

Ф (1)9,=(1),(1 2)5,=(1 2),(1 3)S,=(1 3),(2 3)5,=(2 3),(12 3)S,=(1 2 3), 
(132)51=(132); 

© (1)S:={(1),(1 2)}=(1 2)S:,(1 3)5, = {(1 3),(1 3 2)}=(1 3 2)S,,(2 3)S,= 
{02 3),(1 2 3)}=(1 2 3)Sz; 

© (1)5,={(1), (1 3))} = (1 3)5,,(1 2), = {(1 2), (1 2 3)} = (1 2 3)5,, (2 3) 
5,= {02 3), (1 3 2)}= (13 2)5,; 

Ф (1)5,= (01), (2 3)} = (2 3)S Q 2) 8, = (01 2), (13 2)} = (13 2) 5,, (1 3) 
5,= (01 3),(1 2 3)} = (1 2 3)5,; 

© (1)5;={(1),(1 2 3),(1 3 2)} = (1 2 3)5;=(1 3 2)5;, 

(1 2)$ ={(1 2),(1 3), (2 3)} = (1 3)5;=(2 3)5;. 

(7) 右 陪 集 : 

Ф $1(1)=(1),S1(1 2)=(1 2),5‹(1 3)=(1 3),Sı (2 3)=(2 3),Sı (1 2 3)=(1 2 3), 
6,013 2)=(13 2); 

@ 5,01) = {(1), (01 2)}= 5,01 2),5,(1 3) = {61 3),(1 2 3)}=5,(1 2 3),5,02 3) = 
{02 3),(1 3 2)} =5,(1 3 2); 

@ 5,01) = {(1),(1 3)} = 5,01 3), 5,01 2) = {01 2), (13 2)}=S;(1 3 2),S:(2 3) = 
{02 3),(123)}= 5,01 2 3); 

Ф 5,01) = {(01),(2 3)}= 5,02 3),5,(1 2) = {01 2), 2 3)}= 5,01 2 3),S,(1 3) = 
{02 3),(1 3 2)} = 8,013 2); 

© 8,01) = {(1),(1 2 3),(1 3 2)}=S;(1 2 3)=5;(1 3 2), 


(8) ШЖ. 
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Ss(1 2)={(1 2),(1 3),(2 3)}=(1 3)5 =55(2 3); 
(8) ШЖ. 5/5; = {{01),(1 2 3 6013 2)},{01 2),(13),02 3) }}. 
对 于 群 A=(Z ,十 0) 中 ,二 {0,1,2,3,4,5}, Va,bEZs, 有 a 十 66 二 a 十 b (mod 6), 则 有 : 
d) RA 的 阶 : |A|=6。 
(2) 群 A 的 单位 元 : e 一 0。 
(3) 群 A йб: 0 和 3 均 与 自身 互 为 逆 元 ,1 与 5、2 与 4 互 为 逆 元 。 
(4) 群 A 的 元 素 的 阶 : |0|=1,|1|=]5|=6,)2|=|4|=3,]3|=2.„ 
(5) 群 A 是 循环 群 ,生成 元 1 和 5。 
(6) 群 A 的 非 平 凡 子 群 : А,=<2>=<4:>={0,2,4},А,=<3:>={0,3}, 
(7) ЖА 的 商 集 : А/А,={{0,2,4},{1,3,5}}),А/А‚,={{0,3},{1,4},{2,5}}. 
因此 6 阶 有 限 群 A 与 三 元 对 称 群 S 不 同 构 。 与 A 同 构 的 置换 群 B 应 该 是 一 个 循环 群 。 
因为 |A|==6, 因 此 ,|1B| 也 应 该 为 6, 且 生成 元 的 阶 为 6。 如 B= 二 二 (1 2 3 45 6):>,ШЯ{: 
В = {(1),(123 45 6),(1 3 5)(2 4 6),(1 4)(2 5)(3 6),(153)(264),(165432)}. 
Hp: 
(1) 群 B 的 阶 : 181=6. 
(2) 群 B 的 单位 元 : е= (1). 
(3) ЖЕ В WAT: (1) 和 (1 4)(2 5)(3 6) 均 与 自身 互 为 逆 元 ,(1 2 345 6) 与 (1 6543 
2)、(1 3 5)(2 4 6) 与 (1 5 3)(2 6 4) 互 为 逆 元 。 
(4) 群 B 的 元 素 的 阶 : 1(1)|=1,1(123456)|=|(165432)|=6,|(1 3 5)(2 4 6)|= 
105 3)(2 6 4)|=3,|(1 4)(2 5)(3 6)| 一 2。 
(5) 群 B 是 循环 群 ,生成 元 (1 2 3 4 5 6) 与 (1 6 5 4 3 2)。 
(6) 群 B 的 非 平 凡 子 群 。 
В, =< (13 5)(2 4 6) >=< (1 5 3)(2 6 4) >= ({(1),(13 5)(2 4 6),(1 5 3)(2 64)}; 
В; =< (1 4)(2 5)(3 6) >= {(1),(14)(2 5)(3 6)) 。 
(7) RÉ B 的 商 集 : 
B/B ={{(1) (1 3-5)(2-4 6у,(15-3)(2 6 4)}s {153:5}, {(1 23.4 56); 
(14)(25)(36),(165432)}}， 
B/B: ={{(1),(1 4)(2 5)(3 6)}, 
{123456),(153)(264)}.,{(135)(246),(165432)}}. 
若 映射 / {#(7.+)ж<(12345 6> ER 700) = (1), 03) = (1 4) 02 5)(3 6), 不 
妨 设 f(l)=(123456), 则 5)=(165432), 根 据 同 构 的 定义 有 : 
(2) = /(1-ь1) = (123456) (123456) 一 (135)(246); 
f(4) = f(2 +2) 一 (135)(246) (135)(246) 一 (153)(264)。 
也 可 以 是 : 
f(4) = f(1+43) 一 (123456) (14)(25)(36) 一 (153)(264)。 
【进一步 的 知识 〗 用 置换 群 理解 加 密 
凯撒 密码 的 加 密 算法 为 C= 二 M 十 3 (mod 26) ,可 以 用 轮换 表示 为 : o= 47 … 22 25 2 
5 … 23 26 3 6 …21 24) ,显然 ,1c| 二 26, 所 以 第 |o| 一 1 二 25 次 迭代 操作 可 以 恢复 出 明文 。 
同 理 , 若 凯撒 密码 的 加 密 算 法 为 C 王 M 十 2Cmod 26) ,可 以 用 轮换 表示 为 : 6 二 (1 3 5 … 
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23 25)(2 4 … 24 26),|o| 二 13, 所 以 第 |o| 一 1 二 12 次 迭代 操作 后 ,可 以 恢复 出 明文 。 


ABCDEFGHIJKLMNOPQRSTUVWXYZ 


oa 


J 


В о= (13 17 7 22 19 12 6 8 26 5 25 14 4 2 16 15 11 18 1)(9 20) 10) (13 24) (21) , F LA 
lol 一 20。 若 有 密 文 *VKKB”, 则 重复 和 迭代 进行 加 密 得 到 *VKKB” 一 “SRRP” 一 “LAAO” 一 
“FCCK”—>“HQQR” >“ZGGA” >—“EVVC”—“YSSQ” —>“NLLG”—>“DFFV” >“ВНН$5” = 
“PZZL”—>“OEEF” >“KYYH”=“RNNZ” >“ ADDE” —=>“СВВҮ”->“ОРРЇМ”—>“СООР”— 
“VKKB”, 经 过 20 次 迭代 后 可 解 出 明文 “GOOD”。 


显然 |c| 越 大 ,密码 分 析 的 难度 越 大 。 


小 结 
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1. 不 同 的 代数 结构 


(S, * ),S 为 非 空 集合 , * 为 S 上 的 二 元 运算 ， 
(1) 封闭 性 ”代数 结 

(2) 结合 和 } 
(3) 单位 元 存在 Jan е в 

(4) 逆 元 存在 } 交换 群 
(5) 交换 律 

2. 子 群 


(1) 子 群 : 子 集成 群 。 
(2) 一 个 定理 : HKG ө HEG, Va, bEH, H ab'EH, 
(3) 一 种 方法 : Уає Н,<а><С. 


3. 循环 群 和 生成 元 


(1) <a>= {a'li€ Z}; 

(2) <a>=<a >; 

(3)|<a>>|=|al; 

«1<а>11161; 

(5) <а"><<а>, |<а"2> |= |а|/(а|,т). 


4. 陪 集 


(1) 扩 集 元 素 与 子 群生 成 新 集合 : aH Ж Hal HKG, Маєс. ж/ж). 
(2) 陪 集 划分 群 形成 商 集 СУН. 

O 任意 陪 集 的 阶 相同 : |H|。 

O 左 陪 集 个 数 与 右 陪 集 个 数 相等 : 1G|/1H|。 


®5= E 


5. 同 构 与 同 态 


(1) 先 映射 后 运算 等 于 先 运算 后 映射 ; 
(2) 一 一 映射 与 单 / 满 射 ; 
(3) 无 限 群 同 构 于 (Z, 十 ) ,有限 群 同 构 于 (Z, ,十 ,) ,任意 有 限 群 同 构 于 一 个 置换 群 。 


6. 置换 群 


(1) 一 个 置换 : 到 自身 的 一 一 映射 。 
(2) 置换 与 置换 (映射 ) 的 复合 群 ,所 有 ) 元 置换 构成 2 元 对 称 群 。 
(3) 变换 .置换 与 轮换 。 


作业 


1. 有 正 整 数 集合 Z+ 和 定义 在 该 集合 上 的 二 元 运算 * : Vz,yEZ+ ,zxy= 一 lcmCz,y)， 
ШЖ т 和 y 的 最 小 公 倍数 , 试 讨论 : 

A) ZR * 构成 代数 结构 吗 ? 

(2) 如 果 构 成 代数 结构 ,那么 该 运算 具有 什么 样 的 性 质 ? 

(3) 如 果 构 成 代数 结构 ,该 系统 的 单位 元 和 零 元 存在 吗 ? 并 求 出 所 有 可 逆 元 素 的 逆 元 。 

2. 若 集合 S 二 {1,2,3,4}) ,请 补充 运算 十 ,形成 代数 结构 CS, 十 ) ,并 回答 下 面 的 问题 : 

(1) 你 给 出 的 代数 结构 有 哪些 子 代 数 ? 

(2) 各 代数 结构 有 什么 样 的 性 质 ? 满足 哪些 运算 律 ? 拥有 单位 元 、 零 元 йл? 

з. 已 知 一 个 定义 在 整数 集 上 的 代数 结构 (Z, 十 ) ,请 问 下 面 的 集合 与 十 运算 是 否 能 构成 
(Z, 十 ) 的 子 代数 ? 

(1) А={х|х|30}; 

(2) В={30х|хЄ7,}. 

4. 求证 : 代数 结构 (N, 十 ) 与 (N, Xx) 不同 构 。 

5. (Z, * ) 是 群 吗 ? 其 中 ,* 定义 为 : Ма.БЄ а * 0=6— 2а—20—аб. 

6. WCA, MER? (AOW? 其 运算 表 分 别 如 下 所 示 : 


Ф 0 1 2 о 0 1 2 
0 0 1 2 0 0 1 @ 
1 1 2 0 1 1 2 0 
2 r 0 1 2 2 2 2 


т. 求证 : G 是 有 限 群 , 则 G 中 阶 大 于 2 的 元 的 个 数 一 定 是 偶数 个 。 

8. 请 计算 4 次 单位 根 群 G 二 {1, 一 1,i, 一 沾 中 每 个 元 素 的 阶 。 

9. 请 写 出 群 (Zis ,十 1s ) 的 各 子 群 。 

10. 设 Х= {1,2,3,4.5.6). 8 с.0(1) =6.002) =5,003) =4,0(4) =1.0(5) =2, 
006) =3, о 和 :写成 置换 和 轮换 形式 。 
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11. 设 S={1,2,3,4,5,6,7,8},S 上 有 置换 so Mr: 

(12345 67 8 (12 345678 

人 

(1) WHA EA o 1!, 把 oe* 和 oa! 写成 分 离 的 轮换 的 乘积 ; 

(2) 请 计算 cr .ro ,ror ' ,并 写成 分 离 的 轮换 的 乘积 ; 

(3) 请 写 出 (0) 和 (7); 

(4) 计算 so 和 的 阶 。 

12. 请 写 出 4 元 对 称 群 S; 的 所 有 元 素 ,每 个 元 素 的 阶 和 所 有 4 阶 子 群 。 

13. n 元 对 称 群 S, 中 ,任意 元 素 的 最 大 的 阶 是 多 少 ? 

14. 请 构造 一 个 7 阶 循环 群 , 以 及 与 该 7 阶 循环 群 同 构 的 置换 群 。 

15. 请 使 用 4 元 置换 (1 2 3 4) 将 “congratulations1” 加 密 。 

16. 圆 排列 问题 是 组 合 数学 问题 中 的 一 种 有 趣 的 类 型 : 将 nn 个 不 同 元 素 按 一 定 的 相对 
顺序 排 成 一 圈 , 就 叫 作 n 个 元 素 的 一 个 圆 排列 。 如 图 5-2 所 示 ,4 个 小 朋友 站 成 一 圈 跳 集体 
舞 , 有 多 少 种 不 同 的 站 法 ? 不 同 的 排列 数 应 该 有 n!/n 二 (一 1)! 种 。 请 用 抽象 代数 的 思想 
分 析 一 下 为 什么 ? (提示 : AH RE.) 


1 1 1 1 
Су ТӨТӨ. O; 
124 23и эй аз 
图 5-2 圆 排列 问题 


17. 某 打 字 员 购 进 一 台 二 手打 字 机 ,发 现 打字 机 的 按键 符号 与 打印 出 来 的 符号 不 完全 
相同 ,但 幸好 能 够 打印 出 按键 上 的 所 有 符号 。 现 在 它 需要 打印 一 份 资料 ,正常 按 资料 按键 ， 
会 打出 一 份 不 同 于 资料 的 文本 ,他 又 拿 打 印 稿 继续 正常 按键 ,反复 如 此 ,他 是 否 能 够 正确 打 
印 出 所 需要 的 资料 ”如 果 能 ,假设 键盘 上 一 共有 26 个 按键 ,最 多 需要 打印 多 少 次 ? 

18. 请 设计 并 实现 一 个 能 生成 阶 置换 群 的 程序 。 请 利用 其 中 一 个 置换 实现 加 密 。 

19. 你 能 设计 一 个 程序 生成 三 阶 幻 方 吗 ? 一 共 可 以 生成 多 少 种 不 同 的 幻 方 ? 为 什么 ? 
你 能 将 幻 方 的 生成 用 代数 结构 的 形式 描述 吗 ? 

所 谓 三 阶 幻 方 ,又 称 “ 九 宫 格 ”, 是 最 简单 的 一 种 幻 方 ,是 把 1 一 9 数字 填 入 3X3 的 表格 ， 
使 每 行 每 列 以 及 对 角 线 上 三 数 之 和 均 相 等 ,如 图 5-3 所 示 。 


8 1 6 
3 5 7 
4 9 2 


图 5-3 лаж 
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第 6 章 M 


【教学 目的 】 

掌握 环 的 基本 概念 和 性 质 ; 掌握 多 项 式 环 的 理论 与 计算 方法 。 

【教学 要 求 】 

通过 本 章 的 学 习 , 读 者 能 够 

(1) R: 环 、 交 换 环 、 含 么 环 、 无 零 因子 环 、 整 环 、 除 环 、 域 等 基本 概念 和 性 质 。 
(2) 领会 : 群 . 环 和 域 的 异同 。 

(3) 简单 应 用 : 多 项 式 环 的 构造 方式 与 计算 方法 。 

(4) 综合 应 用 : 在 多 项 式 环 上 计算 CRC。 

【学 习 重点 与 难点 】 

本 章 重 点 与 难点 是 多 项 式 环 中 类 似 整 数 的 性 质 与 计算 方法 。 


本 章 开始 研究 具有 两 个 二 元 运算 的 代数 结构 。 群 (Zw ,十 xs) 可 以 刻画 凯撒 密码 的 运算 ， 
对 于 仿 射 密码 ,需要 引入 乘法 ,用 代数 结构 (Zs ,十 ss ,Xzo) 描 述 。 与 只 具有 一 个 二 元 运算 的 
群 相 比 ,这 个 具有 两 个 二 元 运算 的 代数 结构 具有 什么 样 的 性 质 呢 ? 

四 则 运算 中 ,减法 是 加 法 的 逆 运 算 , 除 法 是 乘法 的 逆 运 算 ( 除 了 0) ,描述 四 则 运算 的 代 
数 结构 可 能 有 ; (Z, 十 ,X)、(Q, 十 ,X)、(R, 十 ,XX) 和 (C, 十 ,X), 分 别 表示 整数 有理 数 、 实 
数 和 复数 集 上 的 加 法 和 乘法 运算 ,你 知道 这 几 个 代数 结构 有 什么 区 别 吗 ? 

本 章 将 从 约束 条 件 最 少 的 环 开始 讲 起 ,逐步 深入 介绍 交换 环 、 含 么 环 .无 零 因子 环 、 整 
环 、 除 环 , 域 等 代数 结构 ,最 后 详细 分 析 多 项 式 环 的 构造 方式 与 计算 方法 。 


6.1 环 的 定义 与 基本 性 质 


定义 6.1 环 

若 (R, 十 ,X) 中 ,R 为 非 空 集 合 ,十 和 X 为 尺 的 两 个 二 元 运算 ,满足 : 

(1) (R, 十 ) 是 一 个 交换 群 ; 

(2) (R,X) 是 一 个 半 群 ; 

(3) 两 个 运算 符 满足 分 配 律 : 

Va,b,cER, H aX(b+c)=(aXb)+(aXc),(b+c)Xa=(bXa)+(cXa); 

则 称 (R, 十 ,X) 为 环 。 

例 6.1 (1) (Z, 十 ,X) CQ, 十 ,X) CR, 二 ,X) 和 (C, 十 ,X) 都 是 环 , 被 称 为 整数 环 、 
有 理 数 环 、 实 数 环 和 复数 环 ; 

(2) (Z ,十 ,，X,) 是 环 , 被 称 为 剩余 类 环 , 其 中 ,Zz 二 {0,1,2,…,n 一 2,n 一 1},Vzx,y€ 
Z, oxty =5x+y (тшойлт),хХ„у=хХу (mod л) 


【请 你 注意 】 

KR, +O: 

(1) (R, 十 ) 被 称 为 加 法 群 ,(R,X) 被 称 为 乘法 半 群 ,(R,X) 一 定 不 能 构成 群 ; 

(2) 车 (R,X ) 是 交换 半 群 , 则 环 (R, 十 ,X ) 称 为 交换 环 ; 

(3) 车 (R,X) 有 单位 元 , 则 环 (R, 十 ,X ) 称 为 含 么 环 ; 

(4) (R, 十 ) 中 的 单位 元 被 称 为 环 的 零 元 (X 的 零 元 ), 记 为 0;(R,X ) 中 的 单位 元 被 称 


为 环 的 单位 元 , 记 为 1;(R, 十 ) 中 的 逆 元 被 称 为 负 元 , 记 为 一 +;(R,X ) 中 的 逆 元 被 称 为 逆 
TWH a’; 


(5) 在 不 影响 理解 的 情况 下 , 环 (R. 十 .,X) 可 被 简 记 为 R,Va,pER,a 十 (一 0) 简 记 为 


a—b 


定理 6.1 设 (R, 十 ,X) 为 环 , Ya, bc ER, H: 
(1) aX0=0Xa=0; 

(2) aX(—b)=(—a)Xb=—(aXb); 

(3) aX (b—c)=aX(b+(—c))=aXb—aXc; 


o ($a) ($a)- $ $on 


i=1 j=l 


证 明 : (1) AX aXa=aX(a +0)=aXa +aX0, FFV aX0=0, а] ,0ха=0; 

(2) AX aX(—b)+aXb=aX(—b+b)=aX0=0, 0 aX(—b)=— (a Xb) 
同 理 ,( 一 a) Xb 十 aX6b 二 0Xb 二 0, 所 以 (一 a) хь (aXb); 

(3) (4) 可 由 (1) 和 (2) 得 到 ,此 处 从 略 。 

定义 6.2 子 环 与 扩 环 

(R, 十 ,X) 是 环 ,S 是 R 的 非 空子 集 , 若 CS, 十 ,X) 也 构成 环 , 则 称 (S, 十 ,X) 是 (R, 十 ， 


X ) 的 子 环 ,(R, 十 ,X) 是 (S, 十 ,X) 的 扩 环 。 记 为 (S, 十 ,X)<(R, 十 , X)。 


一 个 环 (R, 十 ,XX ) 至 少 包含 两 个 子 环 : (R, 十 ,XX) 和 ({0} ,十 ,X) ,它们 被 称 为 环 的 平 


凡 子 环 。 


例 6.2 整数 环 \ 有 理 数 环 均 是 实数 环 的 子 环 ,实数 环 是 整数 环 和 有 理 数 环 的 扩 环 , 复 


数 环 是 实数 环 的 扩 环 。 


例 6.3 (1) (nZ, 十 ,X) 是 整数 环 (Z, 十 ,X) 的 子 环 ,其 中 ,n€E2Z,nZ= {nk,|kEZ)。 
(2) 剩余 类 环 (Z6 ,十 。,X6。) 是 ({0,3}), 十 6,X。) 和 ({0,2,4) ,十 ,Xe) 的 扩 环 。 


(3) Ж 00/02) = (а+6 02 |а,6Є0)}. Ш(7,+,х)<‹(0(/2),+,х),(О,+,х)< 


094/2), +, хә). 


定理 6.2 了 于 环 判断 条 件 

RR 是 环 ,SCER, Ya.b€E5S, 有 a 一 b,ab€ S.W] SSR., 

【请 你 注意 】 

(1) 环 只 要 求 乘法 构成 乘法 半 群 ,因此 子 环 判断 条 件 只 需要 арЄ S. 而 不 是 ab ES, 
(2) Ж К 的 任意 子 环 S 的 零 元 就 是 R 的 零 元 ; жж а 在 S 中 的 负 元 就 是 该 元 素 a {ЕК 


中 的 负 元 。 
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(3) 环 R 有 单位 元 并 不 意味 着 子 环 S 也 有 单位 元 。 
例 6.4 设 (R, 十 ,X) 是 环 , 有 C={a€Rlaz 一 xa, YrxER), 求 证: C ЖК 的 子 环 。 


®в= 


证 明 : 因为 VzER ЖЯ 0r=r0=0, F 0EC, 

H Va, bEC, YER $ axr=zra,br=zxb, 

所 以 (a 一 OZ 一 az 一 br 二 za 一 xb 二 x+(a 一 b), 所 以 a 一 bE€EC,， 
(ab)x=a(bx)=a(xb)=(a xz)b=(ra)b=z(ab), 所 以 ab€EC, 
所 以 C 是 R 的 子 环 。 证 毕 。 


6.2 KAR 


定义 6.3 域 

若 环 (R, 十 ,X) 满 足 (R 一 {0},X) 是 交换 群 , 则 称 (R, 十 ,X ) 为 域 。 

车 |R| 二 n,n€EZ1 ,该 域 称 为 有 限 域 , 写 为 GF(n)。 

例 6.5 (1) (Z, 十 ,X),(Q, 十 ,X),(R, 十 ,X) 均 为 交换 环 和 含 单位 元 的 环 ,(Q, 十 ， 
X),(R, 十 ,X) 还 构成 域 。 

(2) 仿 射 密码 可 以 由 剩余 类 环 (Zi ,十 xs,Xx) 刻 画 。 若 p 为 素数 , 则 剩余 类 环 (Z, ,十 ,， 
X,) 为 域 , 记 为 GF(p) ,这 将 在 第 7 章 中 详细 研究 。 

定义 6.4 零 因 子 与 无 零 因 子 环 

环 (R, 十 ,X) 中 ,3ja,oER. 有 aa 天 0 和 aXb8 一 0. 则 称 a,20 为 环 尺 中 的 零 因子 。 

车 环 (R, 十 ,X ) 无 零 因子 , 则 称 为 无 零 因子 环 。 

例 6.6 (22, +z, Хе) 13 和 2 是 零 因子 ; 但 р 为 素数 时 (Z,, 十 ,,X,) 无 零 因子 ， 
如 (Zs tH Xs) 无 零 因子 ,是 无 零 因子 环 。 

例 6.7 求证 : 有 零 因子 的 环 不 是 域 。 

证 明 : 设 环 (R, 十 ,X) 有 和 零 因 子 , 不 妨 设 为 3a.bER,a,b 了 0,a Xb 二 0， 

车 环 (R, 十 ,X ) 是 域 ,可 设 a AGa. W aX (a +6) =аХа!+аХь=е{0=е, 

所 以 a ! 二 a 1 十 6, 所 以 5 一 0, 矛盾。 所 以 域 没 有 零 因子 。 证 毕 。 

例 6.8 求证 : 只 要 环 (R, 十 ,X) 的 X 运 算 满足 消去 律 ,该 环 就 无 零 因 子 。 

证 明 : 设 环 (R, 十 ,X) 的 Xx 运算 满足 消去 律 ,同时 有 零 因 子 asb, 

所 以 aX6b 二 0 二 aX0, 因 为 零 因子 a 了 0, 所 以 5 一 0, 与 零 因子 0520 矛盾 ， 

所 以 该 环 无 零 因 子 。 证 毕 。 

定义 6.5 整 环 

有 单位 元 的 交换 的 无 零 因 子 环 称 为 整 环 。 

例 6.9 zp 为 素数 时 ,剩余 类 环 (Z .十 ,,X,) 为 整 环 ,整数 环 也 是 整 环 。 

【请 你 注意 】 

(1) 整 环 至 少 有 两 个 元 素 : 加 法 群 的 单位 元 ( 环 的 零 元 ) 和 乘法 半 群 的 单位 元 。 

(2) 有 限 整 环 都 是 域 。 

例 6.10 RE: 有 限 整 环 都 是 域 。 

证 明 : 设 环 (R, 十 ,X) 是 一 个 有 限 整 环 , 零 元 为 0, 乘法 单位 元 为 1， 

所 以 Va,b,cER, 且 a#0 В. 652, ШЖ aXb 隆 a Х с. а 就 是 零 因 于 ,与 R 是 整 
KF. 
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全 数学 基础 


所 以 由 运算 的 封闭 性 和 R 元 素 个 数 的 有 限 性 ,就 有 aXR= 二 R, 即 必 有 dE€ER WE aX 
d=1。 
因为 整 环 是 交换 环 ,所 以 аха=1.„ 

所 以 有 限 整 环 (R, 十 ,X) 的 非 零 元 均 有 逆 元 ， 

所 以 有 限 整 环 (R, 十 ,X ) 是 一 个 域 。 证 毕 。 

定义 6.6 RI 

设 (R, 十 ,X) 为 含 么 环 , 单 位 元 e 取 0, 若 R 中 每 个 非 零 元 都 存在 逆 元 , 则 称 (R, 十 , х) 
为 除 环 。 

【请 你 注意 】 

(1) 除 环 除了 零 元 以 外 的 所 有 元 素 对 乘法 构成 群 ; 

(2) 可 交换 除 环 就 是 域 。 


6.3 多 项 式 环 


定义 6.7 多 项 式 环 
若 (R, 十 ,X) 为 交换 环 ,RLz]= } f(x) = Saune Zt |iEZ,aiE r] ; 则 称 (R[zx]， 


+. X) 为 R 上 的 多 项 式 环 。 

例 6.11 Q,R 分 别 为 有 理 数 环 和 实数 环 , 均 为 交换 环 , 则 Q[z] 和 R[z] 分 别 为 有 理 多 
项 式 环 和 实 多 项 式 环 。 

如 2EQ[z],3.14z 十 2.5EQ[z], 一 3 zoEQ[z]… 

【请 你 注意 】 

(1) 多 项 式 环 中 r 表示 一 个 符号 .不 给 其 赋值 ,最 高 次 数 可 为 任意 正 整 数 , 即 系数 来 
自 于 环 尺 的 任意 多 项 式 均 属于 R[xz]; 

(2) R[xz] 为 交换 环 ; 

(з) К 为 R[xz]j 的 子 环 ,R 的 零 元 为 R[xz] 的 零 元 ; 

(4) RLz] 中 的 多 项 式 /(z) 类 似 整数 ,分 为 0 次 多 项 式 、 素 式 和 合式 ,可 以 进行 欧 几 里 得 
除法 .最 大 公约 、 最 小 公 倍 、 同 余 、 互 素 、 线 性 表达 、 唯 一 分 解 、 指 数 等 计算 ,计算 思想 与 整数 
一 致 。 

定义 6.8 不 可 约 多 项 式 

КЗ. f(z),g (xz)ER[zr] 且 g(r) #0. # FE q) Є R[xz] 且 qg) 50 使 得 
f(z) 二 g(x)Xg(z), 则 称 f(x) 可 约 ,g(x) 整 除 f(z),g(z) 为 f(x) 的 因 式 , f(z) 为 g(x) 的 
信 式 , 记 作 g(xz)|f(z), 否 则 f(z) 是 R[x] 上 的 不 可 约 多 项 式 。 

【请 你 注意 】 

(1) 定义 6.8 中 的 g(xz) 关 0 和 g(xz) 关 0, 是 指 g(x) 和 g(x) 的 最 高 次 数 不 能 为 0, 即 最 高 
次 数 大 于 等 于 1,g(zx) 和 g(x) 不 能 为 常数 。 

(2) 可 约 多 项 式 也 叫 作 合式 ,不 可 约 多 项 式 也 叫 作 素 式 , 如 同 合 数 与 素数 。 
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类 似 正 整 数 ,可 以 将 多 项 式 分 为 以 下 三 类 。 

Ф 零 次 多 项 式 , 即 常数 整数 1; 

О 既 约 多 项 式 , 即 素 式 全 素数; 

@ 可 约 多 项 式 , 即 合式 一 合 数 。 

(3) 如 果 f(z) 可 约 , 则 可 以 分 解 成 两 个 次 数 更 小 的 多 项 式 的 乘积 。 

(4) 在 欧 几 里 得 除法 的 计算 中 ,有 以 下 三 个 要 点 。 

D 补 齐 缺 失 项 ; 

@ 系数 在 环 上 运算 ,消去 最 高 次 项 ; 

@ 余 式 最 高 次 数 小 于 除 式 的 时 候 停止 。 

例 6.12 $ /(2) =32° +5 +22? +1E Z [2 ].602) = 224562, [x], Z HR 7 Й Я 
余 类 环 , 有 : 

(1) /(х)+е(х)=3л4°* +5х#+2х*+2х-+6; 

(2) /(х)—е(х)= /(х)+(—р(х))=3х°*+5х°*+2х*+5х+3; 

(3) (х) Херб) =6ба° + 10х*+4х*+2х-+15х* +25х*+10х*+5 

=6х°*-Ех° 让 8x1 本 二 32 二 2% 和 十 53 
(4) F(z) 一 (5z4 十 5zs 十 4z2 十 5z 十 5) Xg(Cz) 十 4。 


5х* +5х? +4x +5х +5 
2х+5 |3х* +0х* +5x° +2x° +0х+1 


Зх? +4х* 
Зх? +5х° 
3х* +4х? 


х?+2х° 


х?+6х?* 
Зх? +0х 
Зх? +4х 
3x+1 
3x+4 
4 
【思考 】 
例 6.12 中 f(z) 和 g(xz) 的 最 大 公约 式 和 最 小 公 倍 式 分 别 是 什么 7 问题 的 关键 在 于 ， 
Га) g(x) 是 互 素 的 ,你 知道 为 什么 吗 ? 
Zs 为 模 3 的 剩余 类 环 ,Zs[zx] 中 之 .x 十 1、x 十 2 均 为 素 式 ,那么 2x 十 2 一 2X (zx 十 1) ,2z 十 
2 是 不 是 就 是 合式 ? 
2z 十 2 并 不 满足 定义 6. 8 中 关于 合式 的 定义 ,因为 2+ 十 2 二 2X (zx 十 1) ,2 是 常数 ,最 高 
次 数 为 0。 实 际 上 2X (2zx 十 2) = 二 zx 十 1, 也 就 是 同时 有 z 十 112z 十 2,2z 十 21z 十 1 成 立 , 称 
Zz 十 1 和 2z 十 2 相伴 , 记 作 z 十 1 一 2z 十 2。 
例 6.13 ZHR К (22. +. х.) ,R[z] 上 的 多 项 式 f(x) 二 x? 十 1,g(zx) 二 zx" 十 1, 请 
计算 g(x)(mod f(x))。 
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х*®+0х'+ хб +Ox + х 0х + x+Ox +1 


х? +1)" +0х° +0х* + 0х7 +0х° + 0х +0х* + 0х? + 0х + 0х! +1 
х9 0х? + х* 
х* +0х7 + 0х° 
х +0х7 + x 
х° +0х* +0х* 
х*+0х* + x 
x* +Ox +0х° 
хі 0х? + х? 
х? +0х' +1 
х? +0х' +1 


0 


所 以 202) = /(х)(х* а HarHar +l), BI (с) (тоа f(x))=0。 
例 6.14 交换 环 К (23, 3. Хз), R ЕЙ 02) а 1.602) =210 1,1 


计算 geCz)Cmod f(z))。 


解 : 


х*+0х' +2x +Ox + х*+0х?*+2х°+0х' +1 


ж +1)х° +0х° +0х* +Ox +0х° +0х* +0х* +0х° +0х° +0х' +1 
x +0х° + х* 
2х* +0x7 + 0х° 
2х* +0x’ +2х° 
х +0х° +0х* 
xé +0х° + х* 
2х* +0x +0x° 
2х* +0х° +2x7 
х? +0х' +1 
x? +0х' +1 


0 
所 以 а(х) = flx) (a? +228 а 20 1), 20) (mod /(2)) =0. 


例 6.15 ”交换 环 及 一 (Z: ,十 ;,.X:),RLz] 上 的 多 项 式 f(x) 二 xz? 十 1, 请 写 出 模 Са) ЙО 


完全 剩余 系 和 紧缩 剩余 系 。 
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解 : Ж /(zx) 的 完全 剩余 系 有 2 一 4 个 元 素 , 分 别 为 : 0,1,z,z 十 1; 
因为 /(х)=х*+1=(х-+Е1)(х+1), 

所 以 (zxz),z) 王 1,(CFCz),z 十 1) 王 z 十 1， 

所 以 , 模 /(z) 的 紧缩 剩余 系 为 : 0,1,z。 


®в= 


0] 6.16 9 К=(7,.+,.Ххә).Е[х]ЕЙйй#ЛЖз\ /(z) 二 zx? 十 1, 请 写 出 模 f(x) 的 
完全 剩余 系 和 紧缩 剩余 系 。 

解 : 模 /(z) 的 完全 剩余 系 有 3 二 9 个 元 素 , 分 别 为 : 0,1,2,z,z 十 1,z 十 2,2z,2z 十 1， 
25 十 2 
因为 f(x)(mod 2) =1, f(x)(mod r+1)=2, f(x)(mod r+2)=2, 

f(x) (той 22) =1. f(x)(mod 2r+1)=2, f(x)(mod 2z 十 2) 一 2， 

所 以 (jF(z),z) 王 1,(F(z),z 十 1) 王 1,(CFCz),z 十 2) 一 1， 

(F(Cz),2z) 王 1,(CFCz),2z 十 1) 王 1,(FCz),2z 十 2) 一 1， 

所 以 模 f(x) 的 紧缩 剩余 系 为 : 0,1,2,z,z 十 1,z 十 2,2z,2z 十 1,2z 十 2。 

【请 你 注意 】 

СТ) Ж /(x) 的 完全 剩余 系 的 个 数 为 m ,其 中 ,m 为 多 项 式 环 的 系数 环 的 阶 ,n 为 多 项 式 
f(z) 的 最 高 次 数 。 

(2) Жї /(x) 的 紧缩 剩余 系 为 完全 剩余 系 中 与 /(x) 互 素 的 多 项 式 。 

(3) 例 6.16 还 可 写 为 : 

因为 f(x)=(z 十 1) (zx 十 2) 十 2, f(x) 二 (2z 十 1)(2z 十 2) 十 2, 所 以 f(z) 与 x 十 1,x 十 2， 
2z 十 1,2z 十 2 均 互 素 。 

或 者 表示 为 : 

因为 2F(z) 十 (z 十 1)(z 十 2) 王 1,2J(z) 十 (2z 十 1)(2z 十 2) 王 1, 所 以 f(x) 与 x 十 1,z 十 
2,2х+1,2х+2 均 互 素 。 

所 以 x 十 1 与 x 十 2 互 为 模 FCz) 的 道 元 ,2z 十 1 与 2z 十 2 互 为 模 /zxz) 的 逆 元 。 

(4) 交换 环 尺 =(Z。: ,十 ,XX,) 上 的 多 项 式 环 中 H1 WAR AMR R=, HX) 
上 的 多 项 式 环 中 H 为 素 式 , 可 以 看 出 ,一 个 多 项 式 是 可 约 还 是 不 可 约 依赖 于 其 系数 环 。 

例 6.17 Ж К (2, +2, X2) RE] EWER С) а? Ба, ТӘ] f(x) 是 
不 可 约 多 项 式 吗 ? 

解 : R[z] 上 的 1 次 不 可 约 多 项 式 有 : retl, 

R[xz] 上 的 2 次 多 项 式 有 : zz2,z: 十 1,z2: 十 zz2 十 z 十 1, 其 中 ,zlzs,z 十 1|z2 十 1,zlz2 十 
x2 次 不 可 约 多 项 式 只 有 xx? 十 x 十 1( 因 为 x 十 x 十 1 二 x (x 十 1) +1). 

因为 f(x)==zx(x? 十 1) 十 1, 所 以 (f(x),zx)==1， 


x?’ +x+0 x+l 
2 3 2 
ха) +Ox +х+1 х°+х+1)х'+0х°+х+1 
3 2 
L+ х+х+х 
因为 ”一 一 FE 
L+ X +0х+1 
x +x x+ xl 
1 х 


所 以 (CF(z),z 十 1) 王 1,(CFCz),zz 十 z 十 1) 一 (zz 十 z 十 1) 王 1， 

所 以 f(x) 是 不 可 约 多 项 式 。 

例 6.18 交换 环 R 一 (Z: ,十 :,Xs),RLz] 上 的 多 项 式 f(x) 二 x 十 x 十 1, 请 问 f(x) 是 
可 约 多 项 式 吗 ? 

解 : R[x] 上 的 1 次 不 可 约 多 项 式 有 (3 一 3 二 6 个 ): zz 十 1,z 十 2,2z,2z 十 1,2z 十 2, 由 
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于 2z 一 2Xsz,2z 十 1 一 2(z 十 2) ,2z 十 2 一 2(z 十 1) ,所 以 更 高 阶 的 可 约 多 项 式 的 因子 可 以 只 


ЖШ хәх-Е1,а+Е2„ 


Rir] EW 2 KEMARA (3+—3*=18-[-); r tH Hr tar Hara tatl, 
а Fata tirti trt a F F22 0,22 22,22 FaF F 


Z 十 2,2z2 十 2z 十 1,2z2 十 2z 十 2, 其 中 ,zlz2 rlr? +rx\r +H2x, A r r+ 


可 约 ; 
(а +-1,2)=1, (224 
а +1 不 可 约 ; 
(zw 二 935) 三 Ly《z 
(zz 十 z 十 1,z) 一 1,( 
所 以 242122 4-1, 
(zz 十 z 十 2,z) 一 1,( 
а*®+х+2 不 可 约 ; 
(z2 十 2z 十 1,z) 一 1， 
可 约 ， 
(z2 十 2z 十 2,z) 一 1， 
以 х*+2х+2 不 可 约 ; 


2х,2? -х 


1,z 十 1) 一 (zz 十 1) 一 1,(z2 十 1,z 十 2) 一 (z 十 1,z 


上 2,z 十 1) 一 z 十 1, 所 以 +11222, В zx? 十 2 可 约 ; 
好 十 Z 十 lz 十 1) 一 1 (z2 十 xz 十 1,z 十 27 一 (2z 十 1z 
z Hetl 可 约 ; 


上 2) 王 1, 所 以 


+2) =:=+2, 


妇 十 z 十 2,z 十 1) 一 1,(z2 十 z 十 2,z 十 2) 一 (2z 十 2,z 十 2) 王 1, 所 以 


(а 251,51) =r FIMA +11 26-1, 0 2° e 


(zz 十 2z 十 2,z 十 1) 一 (z 十 2,z 十 1) 王 1,(z2 十 2z 十 2,z 十 2) 一 1, 所 


而 2z2? 十 1 一 2(z2: 十 2),2z2 十 2 一 2(z2 十 1),2z2 十 zx 一 2(z2 十 2z)，2z2 十 2z 一 2(z2 十 z)， 
2z2: 十 z 十 1 一 2(z2 十 2z 十 2) ,2z2 十 z 十 2 一 2(z2 十 2z 十 1),2z2 十 2z 十 1 一 2(z2 十 z 十 2),2z2- 


2 十 2 二 20 达 十 2 十 17。 


2 次 不 可 约 多 项 式 有 x? 十 1,x? 十 x 十 2,x? 十 2X 十 2,2x? 十 2,2x? 十 2x 十 1,2x? 十 x 十 1。 


对 于 f(x), 因 为 (f( 


Z),z) 一 1,(F(z),z 十 1) 一 (2z2 十 z 十 1,z 十 1) 一 (2z 


1,(CF(z),z 十 2) 一 (z2 十 z 十 1,z 十 2) 一 z 十 2, 所 以 ,z 十 2|JCz)。 
Вр f(z) 是 可 约 多 项 式 (f(x)==(x? 十 x 十 2) (zx 十 2))。 
例 6.19 交换 环 R==(Z,, 十 ,XX,),R[z] 上 的 多 项 式 f(x) 王 x! 十 1, 请 将 /(x) 进 行 多 


项 式 唯一 分 解 。 


解 : R[xz] 上 的 1 次 不 可 约 多 项 式 有 : retl, 
因为 (f(x),zx)=1, 所 以 xz|f(x)， 
因为 (f(x),zx 十 1)== (х*+1,х+1)=(4*++1,х+1)=(х+1,х+1)=х+1, И 


z+1|f(z), 


+ x 


+х+1 


有 x+1)x*+0x?+0x*+0x+1 ,有 F(z) 一 (z 十 1)(zs 十 z? 十 z 十 1) ， 


х*+ х) 


x? +0x? 


V+ 


2 
ХФ 


2 
X+ 


0х 


х 
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х+1 
х+1 


0 


ДЕ аш 


第 6 


H 
E 


Ж х х ta tati; 
х? +0х+1 


йїх+1)? +х°+х+1,Ж ИИ 11а atA FFCz) 三 (z 十 1)20z2 十 1)， 
хх? 
х+1 


х+1 


0 
х+1 


Mix+l)x? +0х+1 TLA xz? 十 1 二 (zx 十 1)?， 


M /(z) 的 多 项 式 唯一 分 解 表 达 为 : a= 1)", 

例 6.20 交换 环 R 二 (Zs, 十 ;,X;),R[z] 上 的 多 项 式 f(z) 二 x! 十 1, 请 将 /(x) 进 行 多 
项 式 唯一 分 解 。 

解 : RLz] 上 的 1 次 不 可 约 多 项 式 有 : zz 十 1,z 十 2。 
因为 (f(z),z)==1, 所 以 xz fx), 


х#+2х°*+ х+2 


[К ух+1)х* 0х +0х° +0х+1. 所 以 zx 十 1 fC), 


х*+ х) 


2х? +0х? 


2x? +2x? 


x? +0x 


2 
x +x 


2x+1 
2x+2 
2 
x+ х?+ х+1 
В 5х+2)х* +0х° +0х2 +0х+1, 所 以 z 十 2 f(z) 
xt +2х° 
xX? +0х? 
х?+2х° 
х? +0х 
х+1 
х+2 
2 
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根据 例 6. 18,R[z] 上 的 2 次 不 可 约 多 项 式 有 x? 十 1,x? 十 x 十 2,x? 十 2x 十 2。 
x + 0х+2 
HH у? +0х +1)х* 0х +0х° +0х+1 ТШ а БІ f(z)， 


xt +0 + х? 
2х? +0х+1 
2x? +0х+2 


2 


x+ 2х+2 


H y? +х+2)х' +Ox +Ox +0х +1 ,所 以 /(х)=(х*-++х+2)(х*+2х-+Е2), 


х%+ х?+2х° 


БЫ 


2x + x? +0х 
2х% +2x2 +x 
2x°+2x+1 
2х2 +2х+1 
0 
即 f(z) 的 多 项 式 唯 一 分 解 表 达 为 : (1) = (а 242) (а 2212), 
例 6.21 0 К (Zs ,十 :,X:),RLz] 上 的 多 项 式 б) а 1.600) а +а+1, 
请 计算 (f(x),g(zx))。 


x+0 


解 : ух 0х 0х? кх) 0х 0х? +0 +01. 


х^ 0х 0х х + х 


x+ x+l 
所 以 (CjF(z),g(Cz)) 一 (gCz)zz 十 z 十 1)， 


х'+х+0 


因为 x+x+ljxzt+Ox+Oxz+x+l， 


х*+ x+ х? 


+ х?+х 
X+ Hx 
1 
所 以 (FCz),g(z)) 一 (g8(z),zz 十 z 十 1) 一 1。 
例 6.22 交换 环 К (23.13. х.) . КГ) Е 22050 /(х)=х°*+1,е(х)=х*+х+1, 
请 计算 (f(x),g(zx))。 


x+0 


解 : 因为 x+0z+0x+x+lz+Oor+Oz+Or+Oxr+l， 


5X5+0x4+0x3 x H х 


2х +2х+1 
所 以 (FFCz),g(z)) 一 (g(z),2z2 十 2z 十 1)， 
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2х2 +х+1 


因为 2x? +2х+1)х* 0х" +0х° + x+l ， 


х*+ х? +202 


2x +x + х 
2х +25? +x 
2х? +0х+1 
2х +2х+1 
х+0 
所 以 (CCz),g(z)) 一 (g(z),2z2 十 2z 十 1) 一 (2z2 十 2z 十 1,z) 一 1。 
例 6.23 9 К=(7,,+›;,Х;),К[х] ЕЙ ЛИ /(х)=л*-_1,&(х)=х*+х-+1, 
请 计算 gC)? (mod f(z))。 
解 : 根据 例 6.21, f(x) 二 g(x)z 十 zx? 十 x 十 1， 
g(7T)=(z’ 二 z+1)(z 二 xz) 二 1 
所 以 1 一 g(z) 一 (z2 十 z 十 1)(z2 十 z) 一 g(Z) 一 (Fz) 一 g(z)z)(Cz2 十 z) 一 (2 十 妇 十 1)g(z) 
(а? л) Сх). 
所 以 а(х)! (тоа /(2)) =а° Ба? +1. 
例 6.24 ZRH К (23. +, Хз) КГ Е Жз уа) а" 1.800) а +211, 
请 计算 gC) (mod /(т))Ь 
解 : 根据 例 6. 22. 302) = (2) 42242041. 
g= (22° -22+1) (22 +1) +=, 
2z: 十 2z 十 1 一 z(2z 十 2) 十 1， 
所 以 1 =2z? 十 2z 十 1 一 z(2z 十 2) 
2 过 十 2 十 1 一 KK 一 《2 十 22 十 二 十 1)XK2z 十 分 
(22° -22+1) (а х) – 600) (2212) 
=(/(х)—к(х)х)(х*%+х)—к(х)(2х-+2) 
= f(z tegir Ma ta tat) 
所 以 g(x) (тоа fi) )=— la Ба +2012) =r taat, 
例 6.25 0 К (Z: ,十 ,,X,),R[z] 上 的 多 项 式 fa) 5H g aSa H 
计算 огада (g(z))。 


х? +0х' +1 

解 : x +l) 0х 0х2 + 0х +1, 
xt 0х2 + х? 
х? +0х' +1 
x? +0х' +1 
0 
所 以 f(x)(mod 202)) =0, 
所 以 ога, с. Cg(Cz)) 不 存在 。 
例 6.26 交换 环 R=(Zs: ,十 :,Xas),RLz] 上 的 多 项 式 0а) а 1,600) 2° +1. 
计算 ordren (g(x))。 
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x? +0x' +2 
解 : х°+1)х*+0х*+0х° +0х' +1 
Xt+Ox + х? 
2x? +0x' +1 
2x° +0x'+2 
2 
所 以 /(х)=е(х)(х*-+2)-+2,2/(х)-_+е(х)(х*+2)=1,И(/(х),е(х))=1,› 
又 因为 g(z)2(mod /(х))=х*+2х*+1=2х%, 
g(x)’ (тоа /(х)) =22* 222 =22° +1, 
в (х) (тоа /(х))=4х*=2, 
в(х)° (тоа /(х)) =22 +2, 
g(x)’ (тоа /(2)) =422 =2°. 
glx) (тоа /(х)) =x Бл =r? +2, 
g(x)’ (тоа /(2)) =4=1, 
所 以 ога) (Cg(Cz)) 一 8。 
【进一步 的 知识 〗 多 项 式 生成 群 
ЖК (Z: ,十 ;,Xs),RLz] 上 的 多 项 式 g(x) 二 zx? 十 1, 则 根据 例 6. 26.002) 二 生成 
G, * ), 其 中 ,G={1,2,zx? ,zx 十 1 ,x 十 2,2x? ,2z2 十 1,2z2 十 2) 。 
Y fla), hla) EG, H f(z) *һ(х)= f(r) Xsh(r) (тоа zt +1). 
HK, 1 可 以 换 成 RLx] 上 任意 与 g(x) 互 素 的 多 项 式 。 
【你 应 该 知道 的 】 
多 项 式 的 向 量 表达 形式 : 如 果 取 出 多 项 式 的 系数 形成 位 数据 组 , 则 可 以 形成 与 原 多 
项 式 的 一 一 对 应 的 关系 ,因此 可 以 相互 转换 。 
例如 : /(х)=3л4°-Е5л*-Е2х*-Е1Є2„[х]е305201, 
Гбх) =а° Ба? Ба? +1Є 2, [х ]<101101, 
使 用 向 量 表示 多 项 式 可 以 简化 多 项 式 的 运算 与 存储 ,多 项 式 运 算 可 以 转换 为 对 应 向 量 
的 运算 ,向 量 的 进 制 为 系数 环 的 阶 。 
例 6.27 交换 环 К (Z: ,十 :,X:),RLz] 上 的 多 项 式 /(х)=х*-+Е1,д(х)=лх*+х+1, 
请 计算 g(x) (тоа FCz))。 
解 : F(z) 王 100001: ,g(Cz) 一 10011，， 


10 110 

因为 10011)100001 ,111)10011 
10011 ш 

111 111 

ш 

01 


即 : f(x)=g(z) Х10,-Е111,,&(х)=111; X110: +1. 
所 以 1=g(£)— 111; 110, = 602) – (702) — 02) Х10,) Х 110, = (т) Х 1101, — f(x) Х 110, 
所 以 g(z)-1Cmod /0х2))=1101,=2* +2 +1. 
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16.28 ZI К=(7Һ.-+,‚,Хх;),Е[х]ЕЙ#ЛЙїзх f (x) 二 x 十 1,g(x) 二 x 十 x 十 1， 
请 计算 g(r)! (mod f(x))。 
解 : F(z) 王 100001: , 202) =10011,. 


10 211 22 
因为 10011J100001 22110011 10)221 
10011 112 20 
о 211 21 
221 20 
201 1 
221 
10 


В, f(x)=g(x) X10: +221; ,g(x)=221; X211; +10; ‚221, = 10; X22: 十 1; 
所 以 1 =221, — 10; Х22, =221; — (600) — 221, +211, ) Х22, =221; Х 1010; —е(х) X22, 
=(f(x)—g(x)X10:)X1010;,— g(x) X22; 
= f(x) X 1010; — g(x) X10122; 
所 以 g(x)’ (тоа F(z)) 一 一 10122: 一 20211: 一 2z4 十 2z2 十 z 十 1。 
【进一步 的 知识 】 СЕС 
在 数据 通信 中 ,数据 传输 可 能 会 出 现 差 错 ,导致 接收 端 接收 到 的 数据 与 发 送 端 发 出 的 数 
据 不 一 致 。 
为 了 提高 传输 质量 ,减少 差错 ,就 需要 采取 差错 控制 方法 ,来 检查 是 否 出 现 了 错误 以 及 
如 何 纠正 错误 。 差 错 控制 方法 主要 可 以 分 为 两 类 : 检 错 码 和 纠 错 码 。 这 两 种 方法 都 需要 在 
发 送 原始 数据 的 同时 带 上 一 定 的 元 余 信息 ,以 便 接 收 端 根 据 这 些 宛 余 信息 发 现 甚至 纠正 错 
误 。 检 错 码 方案 中 ,接收 端 能 够 发 现 出 现 了 错误 ,但 不 能 确定 究竟 是 哪 一 位 或 者 哪 几 位 出 现 
了 错误 ,所 以 不 能 够 纠正 过 来 。 纠 错 码 方案 中 ,接收 端 不 仅 能 够 发 现 传输 差错 ,还 能 够 自动 
纠正 过 来 。 
纠 错 码 方法 实现 比较 困难 ,在 实际 通信 过 程 中 通常 很 少 采用 , 检 错 码 则 通过 发 送 端 重 传 
的 机 制 达 到 纠 错 的 目的 ,虽然 可 能 重 传 耗 时 可 能 更 长 ,但 技术 简单 .实现 容易 、 编 码 与 解码 的 
速度 快 ,目前 得 到 了 广泛 的 使 用 。 
循环 元 余 码 (Cyclic Redundancy Code,CRC) 是 目前 数据 通信 和 领域 中 最 常用 的 一 种 检 错 
码 , 具 有 检 错 能 力 强 与 实现 容易 的 特点 。 


1. СЕС 的 实现 方法 


循环 元 余 码 的 工作 过 程 可 以 简单 地 概括 为 4 步 。 下 面 的 例子 中 假设 发 送 端 需要 发 送 的 
原始 待 发 数据 为 1010001101, 循 环 元 余 码 的 生成 多 项 式 为 110101。 

(1) 添 0: 在 需要 发 送 的 数据 后 面 添加 0,0 的 个 数 比 生成 多 项 式 的 位 数 少 一 个 。 此 例 
中 1010001101 后 面 添加 5 个 0, 变 成 101000110100000。 

(2) 做 除法 : 将 添加 了 0 的 原始 待 发 数据 作为 被 除数 ,生成 多 项 式 作为 除数 ,做 除法 。 
此 时 应 注意 两 点 : 除法 时 并 非 减 法 ,而 是 异 或 ,所 以 101000—110101=011101; @ 我 们 关 
心 的 是 最 后 的 余数 而 不 是 商 。 

(3) 余数 填充 : 将 余数 填 人 待 发 数据 中 补充 的 0 的 位 置 ,得 到 发 送 方 将 发 送 的 数据 。 此 
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例 中 得 到 的 余数 为 01110。 注 意 ,余数 的 位 数 与 补充 的 0 的 位 数 一 样 ,都 是 比 除数 少 一 位 。 
此 例 中 发 送 方 将 1010001101 01110 发 给 接收 方 。 
1101010110 1101010110 


发 送 方 : 110101)101000110100000 ”接收 方 : 110101)101000110101110 
110101 110101 
111011 111011 
110101 110101 
111010 111010 
110101 110101 
111110 111110 
110101 110101 
101100 101111 
110101 110101 
110010 110101 
110101 110101 
01110 00000 


(4) 接收 方 检查 : 接收 方 将 收 到 的 数据 执行 与 发 送 方 同样 的 除法 ,如 果 得 到 的 余数 为 
0, 则 验证 通过 ,如 果 不 为 0 则 传输 出 错 。 

根据 上 面 的 介绍 ,请 回答 下 面 的 问题 。 

发 送 方 需要 发 送 数据 1101011011 ,生成 多 项 式 为 10011 ,发 送 方 实际 发 送出 什么 数据 ? 
如 果 数 据 传输 过 程 中 最 后 一 位 变 成 了 1, 接收 方 能 够 检查 出 来 吗 ? 如 果 最 后 两 位 变 成 了 
01 呢 ? 


2. СЕС 的 数学 原理 


СЕС 的 计算 是 交换 环 R= (Z: ,十 ;, Xs) 上 的 多 项 式 环 RLz] 中 的 多 项 式 运算 。 

待 传输 的 数据 是 二 进 制 位 流 , 可 视 为 多 项 式 环 RLzj] 的 多 项 式 的 向 量 表达 形式 ,所 以 
CRC 也 叫 作 多 项 式 编码 。 

若 待 发 送 数据 为 MC) ,生成 元 为 GCz),G(Cz) 的 最 高 次 数 为 ”>,RCz) 为 余数 ,实际 发 送 
的 数据 为 SCz) ,整个 СЕС 的 4 步 计算 过 程 的 数学 原理 可 以 表示 如 下 。 

(1) 2. 计算 F(x) 二 x’ XM(z)。 

(2) 做 除法 : R(x) 二 F(x)(mod Glr))=2"XM(x)(mod G(x))。 

(з) 余数 填充 : S(x)= 二 F(z) 十 R(z)==zx"XM(z) 二 R(x)。 

(4) 接收 方 检查 : SCz)(mod G(Cz)) 一 (zXMCz) 十 RCGz))Cmod С(2)) = (2) КС) 
(mod GCCz)) 一 0。 

根据 上 面 的 分 析 ,请 回答 下 述 两 个 问题 。 

(1) ER GCz) 必 须 是 不 可 约 多 项 式 , 你 知道 为 什么 吗 ? G(Cz) 被 称 为 生成 多 项 式 , 你 知 
道 为 什么 吗 ? 请 查阅 资料 寻找 目前 国际 标准 中 使 用 的 G(z) 。 

(2) CRC 能 不 能 检查 出 所 有 差错 ? 也 就 是 说 CRC 的 差错 检测 是 不 是 100% 可 靠 的 ? 
什么 时 候 传输 出 现 了 差错 CRC 却 不 能 够 检查 出 来 ? 
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小 结 


1. 群 \ 环 和 域 
群 \ 环 和 域 关系 图 如 图 6-1 所 示 。 


整 环 除 环 


交换 环 无 零 因子 环 含 么 环 


Л: 
її ! 若 满足 4 则 满足 有 ! 


含 么 半 群 


і 


半 群 


图 6-1 群 \ 环 和 域 关系 图 


2. 多 项 式 环 
(1) К[х]: 交换 环 R 上 的 多 项 式 环 , 元 素 为 多 项 式 ,多 项 式 的 系数 来 自 于 交换 环 R,R 
被 称 为 R[z] 的 系数 环 。 


(2) RLz] 为 交换 环 。 

G) R H RJE. R ETH R 的 零 元 。 

(4)“ 式 ” 似 “ 数 ": 多 项 式 带 余 除 法 , 素 式 和 合式 ,多 项 式 欧 几 里 得 算法 ,最 大 公约 式 , 最 
小 公 倍 式 ,多 项 式 互 素 ,多 项 式 唯一 分 解 , 同 余 式 , 模 多 项 式 的 逆 元 , 模 多 项 式 的 完 系 和 缩 系 ， 
模 多 项 式 的 阶 , 多 项 式 生成 子 群 等 。 

(5) 向 量 表达 : 多 项 式 运算 转换 为 对 应 向 量 的 运算 ,简化 运算 与 存储 ,向 量 的 进 制 为 系 
数 环 元 素 的 个 数 。 


作业 


1. 设 S={(a,6)|a,bEZ),(S, 十 ,x ) 构 成 环 吗 ? 其 中 定义 S 上 的 运算 为 : 
Vzrrz，yiyyzES,(ryzz) 十 (yyy) 一 (zi 十 yiyz 十 y)， (х2) * (у у) = 
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(zlyiyzzyz)。 

2. 设 S, 和 Ss 是 RR 的 子 环 ,请 问 : 

A) Si 站 S: 是 尺 的 子 环 吗 ? 

(2) S1U Ss 是 RR 的 子 环 吗 ? 

3. 在 多 项 式 环 REz] 中 ,下 面 多 项 式 是 不 可 约 多 项 式 吗 ? 其 中 ,R[xz] 为 (Zs, 十 ,,X,) 上 
的 多 项 式 环 。 若 RLz] 为 (Zs: H, Xs) 呢 ? 

Mt (2) a FPF 

4. 计算 2 Hetl 22 Hetl 分 别 在 (Z; ,十 ;, Xs) 和 (Z; ,十 ; ,Xs) 上 的 多 项 式 环 中 的 
最 大 公 因 式 。 

5. WEZ, tH Xs) 的 多 项 式 环 R[x] 上 分 解 z* 十 1。 

6. 请 在 (Zi ,十 ;, Xs) 的 多 项 式 环 R[x] 上 计算 (zx? 十 rttr +1)! (тоа zs 十 x 十 
а+х +1). 

Т. WEZ, tH, X DEARA R[x] 上 计算 ordyxw (g(x)), 其 中 fr) =а* Ба +1, 
g(z) 一 Z。 

8. 网 络 中 发 送 的 信息 通过 宛 余 循 环 码 进行 校 验 ,生成 多 项 式 为 fa) Sa Hartl, 

(1) 传送 的 信息 为 1011 0100 1100, 请 给 出 接收 方 收 到 的 信息 ,并 进行 校 验 。 

(2) 如 果 校 验 后 发 现 从 最 低位 (第 1 位 ?开始 向 最 高 位 标号 ,第 7 位 出 现 了 错误 ,请问 校 
验 后 的 结果 是 多 少 ? 如 果 最 后 两 位 变 成 了 01 呢 ? 

(3) СЕС 能 不 能 检查 出 所 有 差错 ? 也 就 是 说 СЕС 的 差错 检测 是 不 是 100% 可 靠 的 ? 
什么 时 候 传输 出 现 了 差错 CRC 却 不 能 够 检查 出 来 ? 

9. 请 修改 你 的 计算 最 大 公 因 数 的 程序 ,设计 实现 一 个 能 在 (Z, ,十 ,,X,) 的 多 项 式 环 上 
计算 两 个 多 项 式 的 最 大 公 因 式 的 算法 。 类 似 地 ,你 能 设计 一 个 程序 自动 判断 (Z, Hn Xa) 
的 多 项 式 环 上 的 一 个 多 项 式 是 否 是 不 可 约 多 项 式 吗 ? 
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第 7 章 有 限 域 


【教学 目的 】 

掌握 有 限 域 的 构造 方法 ,掌握 生成 多 项 式 、 特 征 、 本 原 元 等 基本 概念 ,掌握 有 限 域 的 
加 法 群 和 乘法 群 的 基本 性 质 ,能 够 建立 有 限 域 的 加 法 运算 表 和 乘法 运算 表 , 能 够 生成 有 
限 域 的 子 域 ,掌握 有 限 域 在 密码 学 中 的 典型 应 用 。 

【教学 要 求 】 

通过 本 章 的 学 习 , 读 者 能 够 : 

(1) 识 记 : 生成 多 项 式 、 特 征 、 本 原 元 、 素 域 等 基本 概念 。 

(2) 领会 : 有 限 域 的 加 法 群 和 乘法 群 的 基本 性 质 ,生成 子 域 。 

(3) 简单 应 用 : 利用 生成 多 项 式 构 造 有 限 域 。 

(4) 综合 应 用 : 有 限 域 上 的 多 项 式 在 AES 中 的 应 用 。 

【学 习 重点 与 难点 】 

本 章 的 重点 是 利用 生成 多 项 式 构造 有 限 域 ,难点 是 有 限 域 上 的 多 项 式 在 AES 中 的 
应 用 。 


在 第 6 章 中 已 经 学 过 域 的 概念 。 若 有 两 个 二 元 运算 的 代数 结构 (F, 十 ,X) 满 足下 面 三 
个 条 件 : 

(1) 下 对 十 运算 构成 交换 群 ; 

(2) FF 中 所 有 非 零 元 素 对 XX 运算 构成 交换 群 ; 

(3) 十 运算 和 XX 运算 之 间 满 足 分 配 律 。 

则 此 代数 结构 称 为 (F, 十 ,XxX)。 若 下 的 阶 是 有 限 的 , 则 下 称 为 有 限 域 , 记 为 GF(n),n 
为 下 元 素 的 个 数 。 

那么 ,你 能 举 一 个 例子 .构造 出 一 个 СЕС)? 如 GF(7) 或 GF(8)? 

显然 GF(7) 应 具有 7 个 元 素 ,一 个 典型 集合 就 是 模 7 的 完全 剩余 系 。 仔 细 分 析 不 难 发 
现 , 若 p 为 素数 , 则 代数 结构 (Z, ,十 ,,X,) 为 域 , 记 为 GFO). 

但 模 车 为 合 数 , 如 代数 结构 (Zz。 ,十 , X26) 只 能 形成 一 个 有 单位 元 的 交换 环 , 这 是 因为 
2 和 13 为 其 零 因子 ,没有 乘法 逆 元 ,因此 (Zx 一 {0},.Xsxs) 不 能 构成 群 , 则 (Zx ,十 ss s Xz) R 
是 域 。 

那么 如 何 构造 GF(8) 呢 ? 考虑 不 用 整数 作为 模 , 而 取 一 个 3 次 多 项 式 , 如 Z[z] 上 的 素 
A f(z) 二 x? 十 x 十 1, 那 么 模 f(x) 的 完全 剩余 系 可 以 表示 为 A 二 {0,1,zx,X 十 1,x? ,zz 十 1， 
zz 十 zz 十 z 十 1}, 共 2 一 8 个 元 素 , 且 每 个 元 素 均 与 f(x) 互 素 ( 均 比 f(z) 小 而 f(z) 为 素 
式 ) AERAR. 3 70) X DPR 0 外 每 个 元 素 均 具 有 乘法 逆 元 ,构成 一 个 8 元 域 
GF(8)。 相 似 地 ,可 以 构造 出 GF(9)、GF(16)、… 


安全 数学 基础 


本 章 将 对 上 述 构 造 有 限 域 GF(n) 的 过 程 和 GF(n) 上 具体 的 计算 进行 详细 分 析 。 

当 p 为 素数 时 ,剩余 类 环 (Z t X OHER, 2, 上 的 多 项 式 环 Zr [zx] 为 交换 环 ， 
Z[z] 的 性 质 类 似 于 整数 环 (Z, 十 ,X)。 因 此 可 以 类 似 剩余 类 环 (Z, ,十 ,,X，) 构 造 剩 余 多 
项 式 环 2,21 , 模 为 Z[z] 上 的 多 项 式 f(x)。 

E p 为 素数 ,剩余 类 环 Z, 中 每 个 非 0 元 素 与 户 互 素 , 均 存在 逆 元 ,Z 是 域 。 该 域 的 阶 为 
户 , 记 此 域 为 有 限 域 GFCP) 。 

相似 地 , 若 f(z) 为 ZLz] 上 的 素 式 , 则 剩余 多 项 式 环 Z,[x jy 中 每 个 非 0 元 素 与 f(x) 
互 素 , 均 存在 逆 元 ,Zs[zxjw 是 域 。 当 f(z) 的 最 高 次 数 为 n 时 ,该 域 的 阶 为 p", 记 此 域 为 有 
限 域 GF(p")。 

例 7.1 交换 环 R 二 ( ,十 ,,X,),R 上 的 多 项 式 环 R[x] 上 有 多 项 式 f(x) 二 zz 十 zx 十 1, 模 
f(x) 的 完全 剩余 系 有 2: 一 8 个 元 素 ,分 别 为 : 0,1,z,z 十 1,z2 ,十 1,z? 十 ZX,X? 十 Zz 十 1。 

f(x) 为 素 式 ( 见 例 6.17), 则 (A, 十 ,X) 是 域 ,其 中 ,A 二 {0,1,zx,zx 十 1,x?,x? 十 1,x? 十 
xs zr}, Убх) АС) Є A g(r)+h(r)=g(r)+h(r) (mod f(z)) 和 g(r)Xh(r)= 
g(x)Xh(x) (mod f(x)), 

有 : (1) (A, 十 ) 是 交换 群 , 零 元 为 0, 每 个 元 的 负 元 均 为 自身 ,十 的 运算 表 如 表 7-1 
所 示 ; 

(2) (A 一 {0),X ) 是 交换 群 ,单位 元 为 1,1 的 逆 元 为 1,x 和 zx? 十 1 互 为 逆 元 ,z 十 1 和 
a Hr 互 为 道 元 ,x 和 十 x 十 1 互 为 着 元 ,X 的 运算 表 如 表 7-2 所 示 。 

所 以 (Zs ,十 ,,，X,) 上 的 剩余 多 项 式 环 (A, 十 ,X) 构 成 域 GFC). 

表 7-1 有 限 域 (4, 十 ,X) 上 的 加 法 运算 表 


+ 000 001 010 011 100 101 110 11 
000 000 001 010 011 100 101 110 111 
001 001 000 011 010 101 100 111 110 
010 010 011 000 001 110 111 100 101 
011 011 010 001 000 111 110 101 100 
100 100 101 110 111 000 001 010 011 
101 101 100 111 110 001 000 011 010 
110 110 111 100 101 010 011 000 001 
111 111 110 101 100 011 010 001 000 


表 7-2 有 限 域 (4, 十 ,X) 上 的 乘法 运算 表 


х 000 001 010 011 100 101 110 11 
000 000 000 000 000 000 000 000 000 
001 000 001 010 011 100 101 110 111 
010 000 010 100 110 011 001 111 101 
011 000 011 110 101 111 100 001 010 
100 000 100 011 111 110 010 101 001 
101 000 101 001 100 010 111 011 110 
110 000 110 111 001 101 011 010 100 
111 000 111 101 010 001 110 100 011 
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例 7.2 9% К (23. 3, Ха). 上 的 多 项 式 环 R[z] 上 有 和 多项式 (a)r Б. 
f(x) 的 完全 剩余 系 有 3: 一 9 个 元 素 , 分 别 为 : 0,1,2,z,z 十 1,z 十 2,2z,2z 十 1,2z 十 2。 

f(z) 为 素 式 ( 见 例 6.16), 则 (了 B, 十 ,X) 是 域 ,其 中 ,B 王 (0,1,2,z,z 十 1,z 十 2,2z,27z 十 
1,2x+2}, VY g(x) h(x)E€B,g(x)+h(x)=g(x)+h(x)(mod FrCz)) 和 8g(Cz)XACz) 一 
&(х) ХА(х) (mod FCz))。 

有 : (1) (B, 十 ) 是 交换 群 , 零 元 为 0,0 负 元 为 自身 ,1 和 2 互 为 负 元 ,x 和 27 互 为 负 元 ， 
х+1Ж 2x 十 2 互 为 负 元 ,x 十 2 和 2z 十 1 互 为 负 元 ,十 的 运算 表 如 表 7-3 所 示 ; 
(2) (B 一 {0},X) 是 交换 群 ,单位 元 为 1.1 和 2 的 逆 元 分 别 为 自身 ,z 和 27 互 为 逆 元 ， 
Z 十 1 和 十 2 互 为 道 元 ,2z 十 2 和 2z 十 1 互 为 逆 元 , X 的 运算 表 如 表 7-4 所 示 。 

所 以 (Zs ,十 :,Xs:) 上 的 剩余 多 项 式 环 (B, 十 ,X) 构 成 域 GF(3?)。 


表 7-3 ”有限 域 (B, 十 ,X) 上 的 加 法 运算 表 


+ 00 01 02 10 11 12 20 21 22 
00 00 01 02 10 11 12 20 21 22 
01 01 02 00 11 12 10 21 22 20 
02 02 00 01 12 10 11 22 20 21 
10 10 11 12 20 21 22 00 01 02 
11 11 12 10 21 22 20 01 02 00 
12 12 10 и 22 20 21 02 00 01 
20 20 21 22 00 01 02 10 11 12 
21 21 22 20 01 02 00 11 12 10 
22 22 20 21 02 00 01 12 10 11 


R 7-4 有 限 域 (B, 十 ,X) 上 的 乘法 运算 表 


х 00 01 02 10 1 12 20 21 22 
00 00 00 00 00 00 00 00 00 00 
01 00 01 02 10 1 12 20 21 22 
02 00 02 01 20 22 21 10 12 1 
10 00 10 20 02 12 22 01 11 21 
11 00 11 22 12 20 01 21 02 10 
12 00 12 21 22 01 10 11 20 02 
20 00 20 10 01 21 11 02 22 12 
21 00 21 12 11 02 20 22 10 01 
22 00 22 11 21 10 02 12 01 20 
【你 应 该 知道 的 】 


GF(p) 上 的 多 项 式 环 有 nn 次 素 式 f(x), 模 /(x) 的 剩余 多 项 式 环 为 域 GF(p"), 则 : 

(1) GF(p) 为 GF(p") 的 子 域 ,GF(p") 为 GF(p) 的 扩 域 . 称 n 次 素 式 f(x) 将 GF(p) 扩 
成 GF(p")。 

(2) f(z) 称 为 GF(p") 的 生成 多 项 式 。 此 СЕСр") піп 5 2, 1л 9 СЕСр)/ Ск). 

例 7.3 Ж R=, +X) R 上 的 多 项 式 环 RLz] 上 有 和 多项式 fa) =r Har t 
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a 安全 数学 基础 


1, 模 f(x) 的 完全 剩余 系 有 2°=8 个 元 素 , 分 别 为 : 0.1.5.241, 22,2 +1. База + 
ti. 

J(z) 为 素 式 ,这 是 因为 1 次 素 式 有 工 和 xz 十 1,2 KERA а 1/0) ,2) 1, 
(ба) +1) 1, (Са) ,zz 十 z 十 1) 一 (zz 十 z 十 1,z 十 1) 一 1。 

则 (C, 十 ,X) 是 域 ,其 中 ,C 王 {0,1,z,z 十 1,z2 ,z2 十 1, 妇 十 zz2 十 z 十 1}),Vg(Czr),jCz)E 
Cg(z) БАС) = 602) БАС) (тоа f(z)) 和 gr) Xh(r)=g(r) Xh(r)(mod f(z)), 有 : 

(1)〈C, 十 ) 是 交换 群 , 零 元 为 0, 每 个 元 的 负 元 均 为 自身 ,十 的 运算 表 如 表 7-5 所 示 ; 

(2)(C 一 {0}, X ) 是 交换 群 ,单位 元 是 1,1 的 逆 元 为 1,z 和 zz? 十 x EHE, eH] H a 
互 为 逆 元 ,x 十 1 和 x 十 x 十 1 互 为 逆 元 ,zx 的 运算 表 如 表 7-6 所 示 。 

所 以 (Zs ,十 ,,X,) 上 的 剩余 多 项 式 环 (C, 十 ,X ) 构 成 域 GFC), 


表 7-5 有 限 域 (C, 十 ,X) 上 的 加 法 运算 表 


+ 000 001 010 011 100 101 110 111 
000 000 001 010 011 100 101 110 111 
001 001 000 011 010 101 100 111 110 
010 010 011 000 001 110 111 100 101 
011 011 010 001 000 Bit 110 101 100 
100 100 101 110 111 000 001 010 011 
101 101 100 111 110 001 000 011 010 
110 110 111 100 101 010 011 000 001 
111 111 110 101 100 011 010 001 000 


表 7-6 有 限 域 (C, 十 ,X) 上 的 乘法 运算 表 


x 000 001 010 011 100 101 110 11 
000 000 000 000 000 000 000 000 000 
001 000 001 010 011 100 101 110 111 
010 000 010 100 110 101 111 001 011 
011 000 011 110 101 001 010 111 100 
100 000 100 101 001 111 011 010 110 
101 000 101 111 010 011 110 100 001 
110 000 110 001 111 010 100 011 101 
111 000 111 011 100 110 001 101 010 
思考 】 
Ж 7.1 + 2° 2-1 生成 的 GF(23) 和 例 7.3 2° 22-1 生成 的 GF(23) 是 同一 个 有 
限 域 吗 ? 


显然 ,两 个 域 的 基 集 A 与 C 是 同一 个 集合 ,但 集合 中 元 素 的 运算 规则 并 不 相同 ,如 多 项 
Rr EA 中 的 逆 元 为 zz 十 1, 在 C 中 的 逆 元 却 为 zz 十 z。 因 此 ,这 是 两 个 不 同 的 代数 结 
构 吗 ? 

车 有 一 一 映射 /: A 一 C, 使 得 有 限 域 A 和 C 同 构 。 必 然 有 ,f(0) 二 0, fRA 
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f= WA Ра 10) faar 


=r +r, f (2) =f =r. 


FELA, /(х*-++х+1)= fT = (22) 


Z 十 1,(zs) 一 F(z 十 1) 一 z3 一 z2 十 1。 


RA, (а а) = atr) = /(х-+1)/(х)=(а*+1)х=а4#+х=зх*%#+х-+1, 
Ж g(z) 王 广 !(z), 有 8g(0) 一 0,g(1) 一 1,g(Cz) 一 Z， 


则 2022) =r sgl) = 600 HS SHl, 

ваъ) = (02) 71) = (а?) =at, glat tzr+t+1)=g((z+1) aH) 
eF 

g(zz 十 z) 一 5((z 十 1)z) 一 g(Cz 十 1)g(z) 一 (z2 十 z 十 1)z 一 z3 十 z2 十 z 一 z2 十 1。 


因 
综 上 所 述 ,这 两 个 有 限 域 可 认为 是 同一 个 。 


此 ,一 一 映射 /使 有 限 域 A 和 有 限 域 C 同 构 , 同 构 映射 关系 如 表 7-7 所 示 。 


表 7-7 有 限 域 4 和 有 限 域 C 同 构 映 射 


集合 a | а а а а 
А х 过 十 1 x # tati Z 十 1 PFa 
с * Hr а? 2+1 а +1 tati 


将 C 中 的 变量 z 使 用 y 表示 ,可 以 使 上 述 分 析 更 明晰 。 
A 为 zs 十 z 十 1 生成 的 GF(23),C 为 % 十 % 十 1 生成 的 GF(23), 设 有 一 一 映射 7: A 一 
C, 使 得 有 限 域 A 和 C 同 构 ,显然 ,f(0) 二 0,f(1)==1, 若 700) = у. 0: 


уа = fay, 


ба) = уа? (тоа z? +2+1)) = (1) = у? (тоа y +y +1) = 5+1, 
fCat) = flat (тоа 2? Б2+1)) = (а 2) = (у 1) у= у? Бу(тоа у +y +1) 
у +у+1, 
Ја?) = (а (тоа z? Бх+1)) = fl trt) = (у Бу+1) у= у? +y +у (тоа у? + 
+10) =у+і1, 
fCat) = (а (той z? Бх +1)) =fr? 1) = (у+1) у= у? + у(тоа у + у +1) = 
+y. 
实际 上 可 以 建立 表 7-8 ME 7-9, 对 应 关系 更 直观 。 其 中 的 生成 元 是 指 乘 法 群 的 生 
成 元 。 
表 7-8 由 必 十 x 十 1 生成 的 GF(23) 
向 量 形式 多 项 式 形式 生成 元 的 宕 指数 形式 
000 0 = => 
001 1 а 0 
010 * а 1 
100 а? а? 2 
011 х+1 aè 3 
110 # +a а* 4 
111 2 +:+1 а 5 
101 好 十 1 а 6 
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表 7-9 A eteti Ф GFO) 


向 量 形式 多 项 式 形式 生成 元 的 蛙 指数 形式 
000 0 = = 
001 1 а 0 
010 х а! 1 
100 а? а? 2 
101 аі а? 3 
111 teti а 4 
011 了 小生 a 5 
110 а*+х а* 6 
【你 应 该 知道 的 】 


(1) 生成 有 限 域 GF(p") 的 关键 是 找到 GF(p) 上 的 次 素 式 。 
(2) 两 个 元 素 个 数 相同 的 有 限 域 一 定 同 构 ,因此 生成 有 限 域 GF(p") 只 需 找 到 一 个 


GF(p) 上 的 n 次 素 式 。 下面 不 妨 以 f(x) 二 x 十 x 十 1 生成 的 GF(23) 为 例 对 GF(p") 进 行 详 
细 分 析 : 


GF(2*)= {000,001,010,011,100,101,110,111},|GF(2°) | =8; 
1. GF(23) 的 加 法 群 


(1) 零 元 : 加 法 的 单位 元 为 0。 

(2) 负 元 : 每 个 元 的 负 元 均 为 自身 。 

(3) 加 法 子 群 : 5, = {000},5, = {000,001},5, = {000,010},5, = {000,011}, 
5; = {000,100} , Se = {000,101},5;={000,110},5 = {000.111}. 

Sə = (000 ,001.010.011} =S: US: 05, , 

510 = {000,001 ,100,101) =S: 05; U Se > 

Sua = (000,001.110.111}= $, US, US: » 

51 ={000,010,100,110} =S; US; US,» 

Sı; = {000,010,101,111) =S; 05, О, 

51,= {000,011.100,111}=5, US; 05, 

5\5 = {000.011.101,110) =S, US: 05, , 

Sis =GF(2°), 

(4) 加 法 子 群 的 阶 : 1 阶 子 群 1 个 ,2 阶 子 群 7 个 ,4 阶 子 群 7 个 ,8 阶 子 群 1 个 ， 
ViEZ,1 委 ji 和 16,|1S:|12: 。 

(5) 元 素 在 加 法 群 中 的 阶 : 10| = 二 1, 其 余 元 在 加 法 群 中 的 阶 均 为 2。 
【请 你 注意 】 

(1) 域 下 的 乘法 群 的 单位 元 1 在 加 法 群 中 的 阶 被 称 为 特征 ( 记 为 Char F)。 若 下 中 1 


在 加 法 群 的 阶 为 = , 则 记 Char F 王 0。 有 理 数 域 、. 实 数 域 和 复数 域 的 特征 都 是 0; 剩余 类 域 
(Zi ,十 ; ,XX;,) 的 特征 为 2。GF(p") 和 GF(p) 的 特征 都 是 p。 域 的 特征 要 么 是 0, 要 么 是 一 
个 素数 р. 
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(2) 任意 非 零 元 在 加 法 群 中 的 阶 均 为 Char Е. 
(3) 有 限 域 GF( 加 ) 中 , Va bE GF(p") A (a+b)? =a? +b”, W tHe ERK 
GF(2) F, (2+1) =r t1, (а Hartl Sat zx? 十 1 二 zx 十 1。 


2. GF(2 ) 的 乘法 群 


(1) 单位 元 : 乘法 的 单位 元 为 1。 

(2) 元 素 在 乘法 群 的 阶 : |001]=1. 

EIX 010° =100,010° =1000=011.010* = 110( той 1011), 

010° = 1100=111,010°% = 1110=101.010° =1010=001 (тоа 1011), 

РТ |0101=7, [100|=7/(2,7) =7,1011|=7/(3,7) =7,--- 

即 单位 元 001 的 阶 为 1, 其 余 的 元 素 阶 均 为 7。 

G) 乘法 子 群 : 5, = (001), 

S= GF(23) — {000} =< 010 >=< 011 >=< 100 > 
=< 10] >< 110 >=<11 Р; 

即 乘法 群 只 有 平凡 子 群 ; 

乘法 群 是 循环 群 ,有 6 个 生成 元 。 

(4) йб: 001 的 逆 元 为 自身 ,010 和 101 互 为 逆 元 ,100 和 111 互 为 道 元 ,011 和 110 F. 
为 逆 元 。 

【请 你 注意 】 

(1) 有 限 域 的 乘法 群 为 循环 群 。 

(2) 有 限 域 GF(p") 中 的 费 马 定理 ; Має GFO") ,az =a, 

如 GF(2:) 中 Ya€EGF(23), 均 有 : а =a, 

G) 有 限 域 GF(p") 的 乘法 群 的 生成 元 称 为 该 有 限 域 的 本 原 元 ,本 原 元 的 阶 为 p" 一 1， 
其 余 非 零 元 素 的 阶 均 为 p" 一 1 的 因子 。 如 GF(2) 中 非 零 元 均 为 本 原 元 。 


3. GF(23 ) 的 子 域 


若 A 是 GF(p") 的 子 域 , 则 A 的 加 法 群 是 GF(p") 加 法 群 的 子 群 ,A 的 乘法 群 是 GF(p”) 
乘法 群 的 子 群 。 

因为 乘法 群 只 有 平凡 子 群 ; 

所 以 子 域 只 有 两 个 : {1000,001} 和 GF(23)。 

例 7.4 GF(2') 的 生成 多 项 式 为 素 式 f(z) 一 x! 十 x 十 1, 请 计算 该 域 的 本 原 元 。 

解 : Га) = а Ба +1 = 10011,,6Е02*) = СЕ(2)// (х) = {0000,0001,0010,0011, 
0100,0101,0110,0111,1000,1001.1010,1011.1100,1101.1110.1111); 

有 : 0010° =0100.0010° = 1000.0010* = 0011 .0010° =0110.0010°% = 1100 (mod 10011), 

0010 = 1011.0010* =0101,0010° = 1010001019 =0111.0010'! = 1110(тоа 10011), 

001012 =1111,0010'* = 1101,0010'* = 1001,0010' = 0001 (mod 10011), 

所 以 |0010| 王 15 一 2 一 1， 

所 以 0010 为 本 原 元 ,0010? =0100.0010* =0011.00107 = 1011,0010* = 0101,0010" = 
1110,0010'° =1101,0010'* =1001 , 均 为 本 原 元 。 
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即 GF(2)/f(z) 的 本 原 元 共 ф(15)=еф(3) ф(5)=8 个 ,分 别 为 zx,z 十 1,z2,zz 十 1,z3 十 1， 
2 十 z 十 1,zs 十 tlett rtr. 

例 7.5 GF(24) 的 生成 多 项 式 为 {(zx) 二 zx! 十 x 十 1, 请 写 出 该 域 的 所 有 子 域 。 

解 : (1) 根据 例 7.4,0010 是 该 域 的 生成 元 ,有 

阶 为 1 的 乘法 子 群 为 A; 一 40001}， 

阶 为 3 的 乘法 子 群 为 A, 二 {0001,0110,0111} 二 {0010*|(k,15) 二 5); 

阶 为 5 的 乘法 子 群 为 A, = {(0001,1000,1100,1010,1111}={0010* | (k,15)=3}; 

阶 为 15 的 乘法 子 群 为 A, =СЕ(2*) — {0000} = {0010* | (k,15)=1}. 

(2) Sı =A, U {0000} = {0000 ,0001 } ,Si 构成 加 法 群 ; 

S =A; U (0000) = {0000,0001,0110,0111).5, 9; 

5;=А, U {0000} = {0000.0001,1000,1100,1010.1111},5, Z Ж) А: В, ДЖ 0001, 
1000€ 5; ,0001+-1000Є S; ; 

5,=А, U {0000} =GF(2*) , S, Т: 

(3) f(z) 二 zt 十 x 十 1 生成 的 GF(2*) 有 三 个 子 域 : {0000,0001)、{0000,0001,0110， 
ОТ СЕС"), 

【进一步 的 知识 】 ЖЮ 

(1) Æ p 是 素数 ,GF(p) 二 (Z,, 十 ,,，X。) 只 具有 平凡 子 域 , 即 GF(p) 不 含有 任何 真子 
域 。 一 个 没有 任何 真子 域 的 域 称 为 素 域 ,也 称 为 极 小 域 ,因为 它 不 会 是 任何 域 的 扩 域 。 

(2) Æ p 是 素数 ,GF(p) 一 定 是 GF(p") 的 子 域 ,是 GF(p") 的 最 小 的 子 域 。 

G) 有 限 域 下 的 特征 等 于 下 的 素 域 的 阶 。 

(4) 域 焉 的 所 有 子 域 的 交 是 一 个 素 域 ,GF(p") 的 素 域 为 GF(p)。 

【思考 】 

前 面 分 析 的 都 是 GF(p") 形 式 的 有 限 域 ,那么 是 否 具 有 非 GF(p”") 形 式 的 有 限 域 呢 ?如 
何 能 生成 一 个 GF(10) 或 GF(12) 呢 ? 

【进一步 的 知识 】 有 限 域 上 的 多 项 式 在 AES 中 的 应 用 

1997 年 ,美国 政府 向 全 世界 发 起 征集 高 级 数据 加 密 标准 (Advanced Encryption Stand, 
AES) 的 活动 。2000 年 ,比利时 密码 学 家 Vincent Rijmen 和 Joan Daemen 设计 的 Rijndael 
算法 被 选中 。2001 年 11 月 26 日 ,美国 政府 正式 公布 AES 为 美国 国家 标准 ,这 是 密码 学 史 
上 的 一 个 重要 事件 。 

AES 是 一 个 迭代 的 、 对 称 的 ,分 组 密码 , 密 钥 长 度 和 分 组 长 度 均 可 变 ,可 分 别 使 用 128、 
192 和 256 位 ,AES 通常 采用 128、192 和 256 位 的 密 钥 ,并 使 用 128 位 (16B) 分 组 进行 加 密 
和 解密 数据 ,分 别称 为 AES-128,AES-192 和 AES-256。 和 迭代 加 密使 用 一 个 循环 结构 ,循环 
中 重复 使 用 置换 和 替换 处 理 数据 。 通 过 反 向 顺序 还 原 每 个 操作 实现 数据 解密 。 

AES 算法 由 密 钥 扩展 算法 和 加 密 ( 解 密 ) 算 法 两 部 分 组 成 。 密 钥 扩展 算法 用 于 将 用 户 
的 主 密 钥 扩展 成 若干 个 子 密 钥 ,这 里 不 再 详 述 ,只 重点 分 析 加 密 算法 。 

AES 进行 加 密 和 解密 处 理 的 数据 单位 主要 为 字 节 和 字 (4B) ,一 个 字 节 (8b) 的 数据 可 以 
表示 为 GF(2) 上 的 多 项 式 , 可 能 出 现 的 最 高 次 数 为 7。 如 字 节 00011010, 一 zx* 十 zx 十 x, 为 便 
于 阅读 记 为 AH ,相似 地 ,10101011; 记 为 ABH, 可 表示 为 x 十 x 十 zx? 十 十 1。 

字 节 的 加 密 需要 进行 加 法 和 乘法 运算 ,解密 需要 进行 加 密 的 逆 运 算 。AES 采用 GF(2) 
上 的 素 式 f(x) 二 xz 十 x! 十 x? 十 x 十 1 作为 运算 的 模 ,其 剩余 多 项 式 构成 有 限 域 GF(2 ) ,这 
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样 任意 一 个 字 节 的 数据 都 可 视 为 来 自 有 限 域 GF(2) ,都 存在 负 元 和 道 元。 如 字 节 ТАН 加 
EF АВН 就 可 以 表示 为 GF(2*) 上 的 运算 : 
0001 1010, 十 1010 1011; = (2* +2 + х) + (а + 42° 4-х 4 1) (тоа 2 +a 4+ а х 4+1) 
= x’ +r’ + q* + 1(mod 十 Zz 十 ZT +x+1) = 1011 0001, 
因此 记 为 1AH+ABH=B1H., 
1AHX ABH 可 以 表示 为 : 
0001 1010, X1010 1011; = (2* +x? +x) X (x +x Ба? +r+1)lmod xs 十 x 十 x 十 x 十 1) 
=a H Ба? H Ба? a HH а? Halmo з? Hat Ба? Hat) 
=x + zt 十 Zz 十 x? = 0011 1100: 
因此 记 为 1AHXABH=3AH。 
字 节 除了 可 以 进行 有 限 域 加 法 和 乘法 运算 ,还 可 以 进行 按 模 移 位 处 理 , 称 为 售 乘 函数 
xtime(Cz) 。 
首先 分 析 简 单 的 移 位 操作 , 若 字 节 运算 为 循环 左 移 一 位 ,如 93H=1001 0011, 循 环 左 移 
一 位 变 为 0010 0111, ,实际 运算 可 分 为 以 下 三 步 。 
(1) 左 移 一 位 : 1 0010 0110,=1001 0011, X10,。 
(2) 首位 溢出 : 1001 0010, =1 0010 0110 一 1 0000 0000, = 0010 0110, (тоа 1 0000 
0000， ) 。 
逻辑 左 移 一 位 操作 可 以 用 公式 表示 为 : 
xtimelg(x)) = xg (х) (тоа zê) (7-1) 
(3) 进位 循环 : 因为 1 0010 0110,:>1 0000 0000; , 故 0010 0110, +1=0010 0111, 
循环 逻辑 左 移 一 位 操作 可 以 用 公式 表示 为 : 
xtime(g(x)) = хе (х) (тоа zx’ —– 1) = хе (х) (той а* + 1) (7-2) 
AES 中 定义 的 按 模 移 位 将 模 xz? 十 1 改 为 其 生成 多 项 式 ГС) ЗЕЕ Ж: 
хіте(5 (2) ) = zxg (х) (тоа f(x)) 
= zg (2) (той zx! 十 x 十 xz 十 z 十 1) (7-3) 
此 时 ,xtime(93H) 二 1001 0011, X10, (тоа 1 0001 1011,)=1 0010 0110, (mod 1 0001 
1011) = 1 0010 0110, 一 , 1 0001 1011, = 0011 1101, = 3DH。 同 理 , xtime (1AH) = 
0001 1010: 10; (тоа 1 0001 1011,)=0 0011 0100, (тоа 1 0001 1011) =0011 0100, =34Н„ 
下 面 以 128 位 分 组 为 例 ,简单 介绍 AES 加 密 算法 的 基本 变换 的 具体 过 程 ,为 表达 简洁 
清晰 ,数据 均 使 用 十 六 进 制 。 
车 待 加 密 数 据 为 1A-2B-3C-4D-5E-6F-78-90-01-23-45-67-89-AB-CD-EF, 首 先 将 输入 
数据 构成 一 个 4X4 的 字 节 明文 矩阵 : 


1A 5E 01 89 
2B 6F 23 АВ 
3C 78 45 CD 
4D 90 67 ЕЕ 


设 初 始 密 钥 为 128 位 75-35-6B-99-05-61-39-D6-73-62-05-31-00-55-09-32 ,将 其 构成 4X 
4 的 密 钥 矩阵 : 
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75 05 73 00 


35 61 62 55 
6B 39 05 09 
99 D6 31 32 


(1) 轮 密 钥 加 : 首先 将 明文 矩阵 和 密 钥 和 矩阵 相 加 。 


1A 5Е 01 89 75 05 73 00 6F 5B 72 89 
2B 6F 23 AB 35 61 62 55 1E 0E 41 FE 
3C 78 45 CD Ф 6B 39 05 09 57 41 40 C4 
4D 90 67 ЕЕ 99 D6 31 32 D4 46 56 DD 


轮 密 钥 加 计算 非常 简单 , 却 可 以 影响 明文 的 每 一 位 。 
(2) 字 节 代替 : 接着 按 字 节 进 行 5 盒 查 找 蔡 换 操 作 , 通 过 简单 的 查 表 操 作 实 现 输入 数 


据 的 非 线性 代替 。 
6F | 5B | 72 | 89 A8 | 39 | 40 | A7 
1E | oE | 41 | FE | азж | 72 | АВ | 83 | ВВ 
57 | 41 | 40 | сї 5B | 83 | o9 | 1С 
D4 | 46 | 56 | DD 48 | 5А | в | cl 


AES 实现 字 节 代 换 的 S 盒 如 表 7-10 所 示 。 
表 7-10 АЕ$ 实现 字 节 代 换 的 S 盒 
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有 限 域 


这 个 5 盒 查找 替换 的 过 程 实际 上 可 以 分 为 以 下 两 步 计 算 。 

D 计算 该 字 节 的 乘法 逆 元 。 

如 输入 6FH ,使 用 欧 几 里 得 算法 计算 得 到 它 模 x 十 x 十 x? 十 x 十 1( 即 11BH) 的 乘法 逆 
元 ,这 可 以 实现 对 输入 数据 进行 非 线 性 变换 。 

11BH=6FHX7H+16H 1=(11BH—6FHX7H)X8H —6FHX3H=11BHX8H 
6FHX3BH 

6FH=16HX7H+DH 1=16H—(6FH—16HX7H)X3H=16HX8H 一 6FHX3H 

16H=DHX3H+1H 1=16H—DHX3H 

所 以 输出 6FH Ж 11BH 的 道 元 为 3BH。 如 果 输 入 的 是 00H 则 仍然 输出 00H. 

@ 仿 射 变换 。 

将 逆 元 按 位 进行 仿 射 变换 : 


0 

1 

1 

1 
(7-4) 

1 

1 

0 


к коюы кю о о 

ш _ Боо о н 

- ооо - = 
8 

е кє о о о н кё 


0 
0 
0 
1 
1 
І 
1 
1 


i 
1 
1 
1 
оа, 
0 
0 
1 


T 
боо Бн 
ыо оо ны = 


0 0 11 a) Хо 
由 于 系数 矩阵 中 每 行 和 每 列 都 含有 5 个 1, 因 此 每 位 输出 数据 都 与 输入 数据 
的 5 位 有 关 ; 改变 输入 数据 中 的 任 一 位 ,都 将 影响 输出 数据 的 5 位 发 生变 化 。 如 


ї оооттт й ү (0 
1 тооотт || t| fo 
їїл ө өбо Tllol jol о 
1111ооо E a E We og 11 
111110000 ео ОИЕ ASH, 
о жага 00а 1] |1 
oo 11 т Ollol [1] [о 
0 0 0 1 TT o Wh u 


综 上 所 述 ,6FH 被 变换 为 A8H, 即 为 S 盒 的 查找 结果 。 
(3) 行 移 位 : 对 输入 的 矩阵 按 行进 行 循环 移 位 ,第 1 行 不 移 位 ,第 2 行 循环 左 移 1 字 节 ， 
第 3 行 循环 左 移 1 字 节 ,第 4 行 循环 左 移 3 字 节 。 


不 移 位 


А8 39 40 АТ А8 39 40 АТ 


72 | АВ | 83 | вв | _##*#®81#%_ | AB | 83 | BB | 72 


5B | вз | o9 | 1С | _##®8?#%#_ | o9 | 1C | 5B | вз 


48 | 5A | в | cl 循环 左 移 3 字 节 、| Cl | 48 | 5A | Bl 


行 移 位 为 置换 操作 ,是 一 种 线性 变换 ,将 数据 打 乱 重 排 。 
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(4) 列 混合 : 用 固定 矩阵 去 乘 以 输入 数据 的 每 列 , 使 输出 数据 一 列 的 每 个 数值 都 与 输 
和 人 数据 该 列 的 所 有 数据 相关 。 
bo 02 03 01 01\ fa 
bi 01 02 03 01||a 


„| |о1 ol 02 оз [а н 
6 оз 01 01 02а 

02 03 01 01 A8 39 40 A7 65 B8 57 F1 

ol | o2 | оз | o АВ | вз | BB | 72 ЗЕ | 48 | 9А | 6С 

01 01 02 03 i 09 Ie 5B 83 Е 49 5А A3 00 

03 01 01 02 с 48 5A B1 D8 44 94 7A 


以 第 一 行 第 一 列 为 例 : 

02H X А8Н = 0000 0010, X 1010 1000: = 1 0101 0000: (mod 1 0001 1011) = 
0100 1011: 

ОЗН X ABH = 0000 0011, X 1010 1011; =1 1111 1101; (mod 1 0001 1011) = 
1110 0110: 

01HX09H=0000 0001; < 0000 1001: =0000 1001, (mod 1 0001 1011:)=0000 1001 


1100 0001; 
0110 0101; 


01HXC1H=0000 0001. X 1100 0001, =1100 0001. (той 1 0001 1011:)= 
即 : 02HX A8H+03H X ABH+01HX09H+01HXC1H=65H, 

(5) 轮 密 钥 加 : 本 轮 最 后 再 将 输入 数据 和 密 钥 矩阵 相 加 。 

上 面 介绍 的 是 AES 加 密 一 轮 的 处 理 过 程 ,在 第 一 轮 之 前 ,使 用 了 一 个 初始 密 钥 加 层 处 
理 明文 块 ,每 一 轮 函 数 通 过 线性 和 非 线性 的 混合 、 密 钥 的 县 加 实现 数据 加 密 , 迭 代 若 干 轮 后 ， 
进入 结尾 轮 ,通过 字 节 代替 、 行 移 位 和 轮 密 钥 加 处 理 后 输出 密 文 块 。 

下 面 以 第 一 轮 加 密 结果 ,简单 介绍 AES 的 解密 过 程 。 解 密 是 加 密 的 逆 过 程 ,因此 每 步 
又 都 相应 地 冠 以 “ 逆 " 作 为 前 级 。 

D йй т: 用 列 混合 矩阵 的 逆 和 矩阵 去 乘 以 输入 数据 的 每 列 , 实 现 被 列 混 合 的 矩阵 
的 还 原 。 


02 03 01 оү! ОЕ 0B 0D 09 

01 02 03 01 Е 09 0E 0B 0D (7-6) 

01 01 02 03 00 09 ОЕ 0B 

03 01 01 02 0B 0D 09 ОЕ 
0E | ОВ | ор | 09 65 | B8 | 57 | Fl A8 | 39 | 40 | A7 
09 | ОЕ | ОВ | ор ЗЕ | 48 | 9А | 6С AB | 83 | BB | 72 
ор | 09 | ОЕ | ОВ ý 49 | 5A | A3 | 00 09 | 1C | 5B | 83 
ов | ор | 09 | ОЕ D8 | 44 | 94 | 7A С1 | 48 | 5A | Bl 
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(2) 道行 移 位 : 为 实现 行 移 位 的 逆 变 换 , 只 需 将 第 2、3、4 行 分 别 循环 左 移 一 1、 一 2、 一 3 
字 节 。 


86 А8 


А8 39 40 АТ 39 40 АТ 


АВ | 83 | BB | 72 | ##®®—1#%, | 72 | AB | вз | BB 


09 | 1С | 5B | вз | _###Е8-?2#%_ | 5B | вз | o9 | 1С 


С1 | 48 | 5A | Bl 循环 左 移 一 3 字 节 48 | 5А | В1 | cl 


(3) 道 字 节 代 换 : 


A8 39 40 АТ 6F 5B 72 89 


72 | AB | 83 | ВВ | жщшщ+уңн | IE | OF | 41 | FE 


5B 83 09 1C 57 41 40 C4 


48 5A B1 Cl D4 46 56 DD 


(4) 轮 密 钥 加 : 首先 将 密 文 矩 阵 和 密 钥 和 矩阵 相 加 ,在 GF(2) 中 ,每 个 元 素 与 其 负 元 相 
等 ,因此 轮 密 钥 加 的 逆 变 换 仍 为 轮 密 钥 加 。 


6F 5B 72 89 75 05 73 00 1A 5E 01 89 

1Е 0E 41 FE Ф 35 61 62 55 2В 6F 23 AB 

57 41 40 C4 6B 39 05 09 3C 78 45 CD 

D4 46 56 DD 99 D6 31 32 4D 90 67 EF 
小 结 


(1) GF(p) 上 的 nn 次 素 式 / (xz) 将 GF(p) 扩 成 GFO"): 

Ф f(z): 生成 多 项 式 \ 本 原 多 项 式 ; 

© GF(p")=GF(p)[zjnw 或 GF(p)/ f); 

© 两 个 元 素 个 数 相同 的 有 限 域 同 构 。 

(2) GF(p") 的 加 法 群 : 

D 零 元 、 负 元 和 特征 ; 

© GF"), Va bEGFMH : (a+b)? =a? +b, 

(3) GF(p") 的 乘法 群 : 

单位 元 、 道 元 、 生 成 元 和 阶 ; 

© GF(p") 中 ,Ya€EGF(p") 有 : a” =a, 

(4) GF(p") 的 子 域 : 若 A 是 GF(p") 的 子 域 , 则 A 的 加 法 群 是 GF(p") 的 加 法 子 群 ,A 
的 乘法 群 是 GF(p") 的 乘法 子 群 。 
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作业 


1. 请 构造 有 限 域 GF(24) ,并 仿照 表 7-1 和 表 7-2 构造 其 加 法 表 和 乘法 表 。 
2. 请 构造 有 限 域 GF(33) 。 在 此 GF(33) 中 计算 f(x) 二 g(x)、f(z)* ga) fA 


g' (х), Н, 0) = 202,602) =а° +1, 


3. СЕС28) Е В 2001500 а(х) аё tr Ба? Ба. НЙ S a) АИ, f(z)= 


а + et 


4. GF(2*) 的 生成 多 项 式 为 f) а Ч 


Fz 十 1, 请 计算 该 域 的 本 原 元 和 子 域 。 


5. 令 F={0,1,2,3}, 在 下 上 定义 的 运算 十 和 XX 如下: 


则 下 是 有 限 域 吗 ? Char Е 是 多 少 ? 最 小 的 子 域 是 什么 ? 

6. RIE: 设 下 是 一 个 域 ,F 的 特征 要 么 是 0, 要么 是 一 个 素数 р. 

т. 求证 : 有 限 域 GF(p") 中 , Ya,bEGF(p") 有 (a 十 6)? 二 a? 十 b?。 

8. 请 设计 一 个 程序 可 以 选择 一 个 次 素 式 生成 GF(2") ,并 计算 出 一 个 GF(25) 中 的 加 
法 表 和 乘法 表 。 

9. 请 设计 一 个 程序 ,验证 zx 十 1 是 GF(2) 的 本 原 元 ,生成 多 项 式 为 十 x 十 十 x 十 


+ 


0 


2 


3 


х 


0 


0 


1 


2 


3 


0 


1 


1 


0 


3 


2 


1 


2 


2 


3 


0 


2 


2 


3 


3 


2 


1 


0 


3 


о|о/|о/о!/|ос 


1, 并 以 zx 十 1 为 底 构造 该 有 限 域 中 的 离散 对 数 表 。 
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第 8 章 椭圆 曲线 


【教学 目的 】 

掌握 椭圆 曲线 和 其 上 定义 的 加 法 计算 ,能 够 在 有 限 域 上 建立 椭圆 曲线 加 法 群 ,能 够 
进行 该 加 法 群 的 运算 。 

【教学 要 求 】 

通过 本 章 的 学 习 , 读 者 能 够 : 

(1) 识 记 : 椭圆 曲线 ,无 穷 远 点 等 基本 概念 和 性 质 。 

(2) 领会 : 椭圆 曲 线 加 法 的 几何 定义 和 代数 定义 。 

(3) 简单 应 用 : 在 有 限 域 上 建立 椭圆 曲线 加 法 群 ,进行 加 法 、 求 北 元 、 求 倍 元 、 计 算 
生成 元 ,计算 元 素 的 阶 、 生 成 子 群 等 各 种 计算 。 

(4) 综合 应 用 : 有 限 域 上 的 椭圆 曲线 加 法 群 中 实现 ElGamal 密码 算法 。 

【学 习 重点 与 难点 】 

本 章 的 重点 与 难点 是 椭圆 曲线 加 法 的 几何 定义 和 代数 定义 ,在 有 限 域 上 建立 椭圆 
曲线 加 法 群 并 进行 各 种 计算 。 


1985 年 ,Neal Koblit 和 Victor Miller 分 别提 出 在 椭圆 曲线 上 构造 密码 系统 (Elliptic 
Curve Cryptography, ECC) ,从 那 时 起 ,众多 数学 家 和 密码 学 家 就 开展 了 关于 ЕСС 的 安全 
性 和 实验 效率 的 广泛 研究 。 所 得 结果 表明 ,ECC 方案 作为 一 种 公 钥 密码 机 制 , 与 RSA 算法 
相 比 ,具有 密 钥 长 度 短 、 加 密 速 度 快 等 优点 ,近年 来 已 被 广泛 应 用 于 商用 密码 领域 。 

那么 究竟 什么 是 椭圆 曲线 ? 就 是 我 们 曾经 在 中 学 的 时 候 认 识 的 顶 圆 吗 ? 作为 一 种 曲 
线 , 它 如 何 实现 加 密 过 程 呢 ? 在 本 章 将 开始 ECC 相关 数学 知识 的 介绍 。 


8.1 椭圆 曲线 的 基本 概念 


在 实数 域 上 ,所谓 椭 圆 曲 线 是 满足 方程 
y Бату +by = а? +cr? + ах +e (8-1) 
的 所 有 点 的 集合 。 其 中 ,a,b,c.d,e 为 实数 ,z,y 在 实数 集 上 取 值 。 经 过 坐标 变换 ,方程 可 
以 简化 为 下 面 的 形式 : 


у? = z’ + ах +b (8-2) 
记 为 椭圆 曲线 E(a ,0) 。 
【进一步 的 知识 〗 椭圆 曲线 的 性 质 
椭圆 曲线 是 除了 直线 和 圆锥 曲线 之 外 ,被 研究 最 多 的 代数 曲线 。 它 具有 极其 丰富 的 分 
析 、 代 数 、 几 何 与 数论 性 质 ,将 数学 中 的 许多 重要 分 支 都 联系 起 来 。 著 名 的 费 马 大 定理 就 和 
椭圆 曲线 有 着 密切 的 联系 。 
椭圆 曲线 的 形状 并 不 是 椭圆 形 的 .如 图 8-1 所 示 。 
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8-1 椭圆 曲线 


其 得 名 的 原因 是 在 计算 椭圆 的 周 长 时 需要 计算 椭圆 积分 ,涉及 一 类 函数 : 


y= М Far Fb (8-3) 
对 于 式 (8-2) ,定义 : 
RE Ла? z 
7 T да? +270 {Аш 


它 称 为 椭圆 曲线 的 j 不 变量 ,该 不 变量 唯一 确定 椭圆 曲线 。 

在 椭圆 曲线 的 定义 中 ,还 包含 一 个 称 为 无 穷 远 点 或 零点 的 点 , 记 为 0。 引 入 无 穷 远 点 的 
原因 是 在 椭圆 曲线 上 定义 了 加 法 运算 。 
定义 8.1 椭圆 曲线 上 加 法 运算 的 几何 定义 
任 取 椭圆 曲线 El(a,5) 上 两 点 PP 和 Q, 过 P 和 Q 的 直线 (车 P 和 Q 重合 则 做 该 点 的 切 
线 ) 交 EE(a,b) 于 另 一 点 R', 过 点 R' 做 y 817236 E a.b FA К. WE 8-2 所 示 , 则 规定 
P+Q=R。 


图 8-2 椭圆 曲线 上 的 加 法 运算 


【你 应 该 知道 的 】 椭圆 曲线 上 加 法 运算 的 代数 定义 

椭圆 曲线 Ea bD EAR Py D A Qay) B PR 的 直线 方程 为 y 二 kz 十 c。 
Ф P 关 Q, 则 k= 二 (yi 一 y2)/ (zi 一 x2); 若 P 二 Q, 则 该 直线 为 椭圆 曲线 的 切线 , 设 Fay) = 
y — z —azr—b, ZAE Е, (х,у) За —a, F, (x, y)=2y, W] k Е, (х,у)/Е, (х,у) = 
(32? Ра) /2у. 

ЖЁН ЖҖ5Ж EUa. DFA R (хз уз) WA : 

уз? = х; Far, tb titt: аа 
су 


уз = kx; +c k = (у — у,)/(ху—т;) 


得 到 zs =k? T1 — 22y = у1-ЕЁ(хз— х1)» 
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过 点 R' 做 y 轴 平 行 线 交 EE(a,5) 于 点 К.К 的 坐标 为 (zs ,一 ys ) 。 

即 P(zi,ym) 和 Q(zrz,yz) 的 加 法 为 R — ari — arkli 23) у), AP, k= (у 一 
уг) / (22), tı =x:=x Н у =y: =y ЙА = (3а? а) /2у. 

【思考 】 

车 有 相同 x 坐标 的 不 重合 两 点 P(r,yi) 和 点 Qa. y) ,根据 式 (8-2),y 一 一 % ,此 时 过 
A PHQ 的 直线 与 y 轴 平 行 ,那么 该 直线 与 椭圆 曲线 的 另 一 交点 R' 在 哪里 ? 

另 一 方面 , 若 两 点 重合 为 PCz,y), 则 过 尸 点 画 出 一 条 切线 ,该 切线 与 椭圆 曲线 的 另 一 
个 交点 为 R', 若 切线 恰好 平行 于 у 轴 , 如 图 8-3 所 示 , 这 个 R' 在 哪里 ? 


2} Eeo ! 2} Е(-1,0) 
1 ， 
! | i рі 
0 
О | С 
1 í 
-1 上 -l о 
1 1 
动 | -2 1 
П 1 
=1ї 0 1 =l 0 1 2 


图 8-3 平行 于 y 轴 的 切线 


根据 加 法 运算 的 代数 定义 ,过 P(z,y) 和 Q(z, 一 >) 的 直线 斜率 k= c0 ,该 直线 与 顶 圆 昌 
线 另 一 个 点 尺 ' 的 坐标 应 该 为 ( 双 一 z 一 zy 十 ECzs 一 Z)) 一 (coyco), 这 个 无 穷 远 点 也 应 该 在 
椭圆 曲线 上 。 

定义 8.2 实数 域 上 的 椭圆 曲线 

a,bER, 椭 圆 曲 线 Е(а,6) = (С, у) |y =а° Бас+Ь.х.уЄ К) U {0}. JEP 4a +270 50, 
О 为 无 穷 远 点 。 

【你 应 该 知道 的 】 无 穷 远 点 

式 (8-1) 是 在 普通 的 笛 卡 儿 平面 直角 坐标 系 中 定义 的 ,这 种 光滑 曲线 加 上 无 穷 远 点 О 
才 组 成 了 椭圆 曲线 。 

在 引入 无 穷 远 点 О 之 前 请 思考 一 个 问题 : 平行 线 相交 吗 ? 小 学 学 到 的 知识 告诉 我 们 ， 
所 谓 平行 线 就 是 在 同一 平面 内 的 不 相交 (也 不 重合 ) 的 两 条 直线 。 但 观察 如 图 8-4 所 示 的 图 
像 ,显而易见 ,AB/CD, 但 它们 的 延长 线 却 相交 于 O 点 。 同 理 AD/ BC, 它 们 的 延长 线 相 
FOR. 
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学 : 


为 此 ,将 直线 的 平行 与 相交 统一 起 来 ,认为 任意 两 直线 均 相 交 , 若 两 直线 不 平行 则 相交 
于 一 平常 点 ( 非 无 穷 远 点 ) , 若 两 直线 平行 则 相交 于 无 穷 远 点 。 

无 穷 远 点 有 如 下 几 个 性 质 。 

(1) 经 过 同一 个 无 穷 远 点 的 所 有 直线 相互 平行 ,经 过 不 同 无 穷 远 点 的 两 直线 不 平行 。 

(2) 一 条 直线 的 无 穷 远 点 有 且 只 有 一 个 。 

(3) 平面 上 全 体 无 穷 远 点 构成 一 条 无 穷 远 直线 。 全 体 无 穷 远 点 和 全 体 平常 点 构成 射影 
平面 。 

因为 椭圆 曲线 的 无 穷 远 点 是 椭圆 曲线 与 平行 于 у 轴 的 直线 的 交点 ,因此 椭圆 曲线 上 的 
无 穷 远 点 有 且 只 有 一 个 。 

平面 上 任 一 平常 点 可 以 表示 为 (zx,y) ,那么 如 何 表示 一 个 无 穷 远 点 呢 ? 不 能 简单 引入 
一 个 (co,co) ,因为 这 样 不 能 区 分 不 同 的 无 穷 远 点 。 

在 普通 笛 卡 儿 平 面 直角 坐标 系 下 直线 方程 为 az 十 by 十 c 二 0, 直 线 工 可 以 表示 为 /二 (a， 
b) ,直线 上 一 点 表示 为 (x,y)。 显 然 对 同一 条 直线 有 : azz 十 yz 十 cz 一 0, 此 时 直线 仍然 
可 以 表示 为 /二 (a,5b,c)7 ,直线 上 一 点 变 成 了 (zzyyz,z)T。 

对 普通 笛 卡 儿 平 面 直角 坐标 系 的 点 坐标 (z,y) 引 入 一 个 新 的 参量 , 改 为 (X,Y,2Z) 一 
(zzsyz,x), 这 就 对 平面 上 的 点 建立 了 一 个 新 的 坐标 系 。 显 然 ,在 这 个 新 的 坐标 系 下 ,同一 
个 点 的 表示 是 不 唯一 的 ,如 (4,2,2) 和 (2,1,1) 都 是 点 (2,1) 在 新 坐标 系 下 的 坐标 。 这 个 新 的 
坐标 系 被 称 为 射影 平面 坐标 系 。 

若 有 直线 4 二 (a,bwc)T 和 14s 二 (a,bycs)T ,ci 闫 Cs, 显然 Wl, 此 时 车 两 直线 相交 , 则 将 
两 直线 方程 联 立 求解 ,有 : 

arz 十 byz 十 clz 一 0 


Daz 一 cz 一 一 arzz 一 byz 因为 cy 5 с. 所 以 > 一 0 
ахх + Бух А сох = 0 


即 无 穷 远 点 的 坐标 为 C(z,y,0)。 相 应 地 ,平常 点 的 坐标 为 (zz,yz,z),< 天 0。 
最 后 ,请 思考 一 个 问题 ,椭圆 曲线 上 的 那个 无 穷 远 点 的 坐标 应 该 是 什么 呢 ? 
【思考 】 


这 是 因为 ， 

(1) 封闭 性 : 任意 椭圆 曲线 上 的 点 进行 加 法 运算 后 仍 _ 
然 在 椭圆 曲线 上 ,如 图 8-5 所 示 。 Е 

(2) 结合 律 : УР.О.КЄЕ.ж Р+О+К=Р+(О+ Mes 椭圆 曲线 的 封闭 性 
К). 

(3) 么 元 律 : #JeCE,YPEE, H PHe=P, N e 为 无 穷 远 点 O。 

(4) 0706: 若 VPEE,.3QeEE, 有 P+TQ=O, 则 Q= 一 P, 因 此 VPEE,P WHITH 

Р,# Р=(х,у),—Р=(х,—у)„ 

(5) 交换 律 : 车 VP,QEE, 则 P 二 Q 一 Q 十 P。 

【请 你 注意 】 

(1) 椭圆 曲线 加 法 群 的 结合 性 证 明 需 用 到 代数 几何 领域 更 专业 的 知识 ,证 明 在 此 从 略 ， 
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有 兴趣 的 读者 可 自行 研究 。 
(2) (E, 十 ) 为 加 法 群 ,因此 单位 元 也 称 为 零 元 , 逆 元 也 称 为 负 
(3) 车 VP,Q,REE(a,b), 且 三 点 共 线 , 则 RR 二 一 (P 十 
Q), 即 P+Q+R=0。 
(4) 上 个 相同 点 P 相 加 称 为 们 点, 记 作 kP. 如 图 8-6 所 
示 ,P 十 P+P=2P 十 P=3P。 0 
已 知 k 和 点 P 求 点 kP 比较 容易 ,反之 已 知 点 kP 和 点 P | 
求 k 却 是 相当 困难 的 ,这 个 问题 称 为 椭圆 曲线 上 点 群 的 离散 
对 数 问题 。 椭 圆 曲 线 密码 体制 正 是 利用 这 个 困难 问题 设计 
而 来 。 


dl 


3 


8.2 有限 域 上 的 椭圆 曲线 


定义 8.3 ”有限 域 GF(p) 上 的 椭圆 曲线 
a,bEZ* ,а,Ь<р„4а?-++27Ь°5#0(тоа p), p 为 素数 , 则 有 椭圆 曲线 : 


13 E,(a,b)={(x,y)|y:=x’ +ax+b (той р), х, 
1-9 ›Є2,) 00). 

Е 如 有 Eis(1,1) ,4a +276? 43200 тоа 13), Mi t 
7 除了 无 穷 远 点 O 之 外 的 椭圆 曲线 如 图 8-7 所 示 。 

$ 该 椭圆 曲线 一 共有 18 AA, AREE E, aD УГ 
为 18,BEs(1,1) 一 (零点 0,(7,0),(0,1),(1,4),(4,2)， 
2 DE D C10, 68 A225 C0, 12E 
Е (4,11),(5,12),(8,12),(10,7),(11,11),(12,8)) 。 


TR, Æl, y) EE, lab) (2. у) EE, lab). 
E,(a,5) 的 加 法 法 则 与 实数 域 上 的 椭圆 曲线 是 相 
似 的 。 
(1) 无 穷 远 点 OHF. VPEE, a.b), PH0=P; 
(2) VP(z,y)EE,(asb),P 的 负 元 是 一 P(z,p 一 y)EE,(asb), 有 P+( 一 P)=0; 
(3) 若 P,Q,REE,P=(ziy),Q=(zy),R 一 (zy), 有 : 
|” +z: +z, = k?’ (mod p) 


уз + yı = k(xı — x) (mod р) 


M R=PHQ. У PÆQ hfk = (у у) / (xı а) тоа р). 4 P=Q hf k = (321 а) /2у. 
(тоа р). 


018.1 ЕЯ Р=(0,1).0=(1.4).Р.ОЄЕ,, (1.1), 6: 

(1) —Р,(2) РТО, (3) 2P. 

解 : (1) –-Р=(0,13—1) = (0,12) EEx (1,1). 

(2) = (у — уг) / (xı 23) = (4 —1)/01—0) =3. 8 Кз y) РТО. 有: 
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人 > = 3?’ (mod 13) 


эз +1 =3(0— 23) (mod 13) 
解 得 х,=8 (mod 13), уз=1 (mod 13). 
所 以 PHQ=(8,1) EEr (1,1). 
(3) 2P=P+P,k= (Ga$ а) /2у =(3X0?+1)/(2X1)=1/2=14/2=7 (mod 13) , 设 
R(zs,ys)= 二 2P, 有 : 


| ы = 7’ (mod 13) 


уз +1 = 7(0— x,)(mod 13) 

解 得 2310 (тоа 13). уз =7 (mod 13), 

所 以 2Рр= (10,7) ЄЕ,,(1,1). 

018.2 ЕР= (0.1) ЄЕ, (1.1). + Р. 

解 : 根据 例 8.1 92р (10.7), 

设 ЗР= (х,у), M] А (7—1) /010—0) =3/52=55/52=11( тоа 13) ,有 : 
ОИ 


у+1 == 1100 — 2) (тоа 13) 
解 得 3Р= (7,0), 
设 4P=(z,y), 则 k=(0 一 1)/(7 一 0) 1/7 14/7 2==11 (mod 13), 有 : 
оран 


y+1= 110 — х) (той 13) 
解 得 4P 一 (10,6) 。 
Ў 5р= (2.у). M] k=(6—1)/0—0)=1/2=14/2=7 (mod 13), 有 : 
ена 


у+1 = 700 — х) (той 13) 
19 5р= (0,12) = —Р, 

显然 6P=0; 

因此 ,|1P|=6。 

相似 地 ,车 P=(1,4), 有 : 2P 一 (8,12),3P 一 (0,12),4P 一 (11,11),5P 一 (5,1),6P 一 
(10,6),7Р=(12,8),8Р=(4,2),9Р=(7,0),10Р=(4,11),11Р=(12,5),12Р=(10,7), 
13P=(5,12),14P=(11,2),15P=(0,1),16P=(8,1),17P=(1,9),18 P=0. 

因此 ,|(1,4)| 王 18=1Es(1,1)|。 即 (1.4) 为 加 群 Eis(1,1) 的 原 根 。 

进一步 ,可 以 得 到 Eis(1,1) 中 : 

a) 1 阶 的 元 g(1)==1 个: 零 元 0。 

(2) 2 阶 的 元 p(2) 二 1 个: (7.0). 

(3) 3 阶 的 元 g(3)==2 个 : (10,6) 和 (10,7)。 

(4) 6 阶 的 元 g(6) 二 2 个 ; (0,1) 和 (0,12)。 

(5) 9 阶 的 元 p(9) 二 6 个 ; (4,2),(4,11),(8,1),(8,12),(11,2),(11,11)。 

(6) 18 阶 的 元 有 p(18) 二 6 个 : (1,4),(1,9),(5,1),(5,12),(12,5),(12,8)。 


136 


可 以 生成 Eis(1,1) 的 所 有 子 群 : (Si, 十 ) ,i 二 1,2,…,6。 

Si={0}; 

5,=(0.(7,0)}; 

S= (0, (10,6), (10,7) }; 

S= (0, (0,12), (10,6),(7,0),(10,7),(0,1)}; 

5 ={0,(8,12),(11,11),(10,6), (4,2), (4,11),(10,7),(11,2),(8,1)}; 
Ss=E,(1,1)。 

可 以 建立 起 Es(1,1) 中 以 (1,4) 为 底 的 离散 对 数 表 如 表 8-1 所 示 。 


表 8-1 离散 对 数 表 
a (1,4) (8,12) (0,12) 41,1) (5.1) (10,6) 
inda 1 2 3 4 5 6 
а (12,8) (4,2) (7,0) (4,1) (12,5) (10,7) 
іпд,а 7 8 9 10 п 12 
а (5,12) (11,2) 00,0) (8,1) (1,9) о 
іпд,а 13 14 15 16 17 18 


显然 , 若 已 知 点 G, 计 算 КЕКС 比较 容易 ,但 若 给 定 КОС ,计算 indcK 就 困难 了 。 这 
就 是 椭圆 曲线 加 密 算法 采用 的 难题 。 

【进一步 的 知识 〗 椭圆 曲线 ElGamal 密码 算法 

(1) 用 户 A 选择 一 条 椭圆 曲线 E,(a,65), 取 其 上 一 点 G, 称 为 基点 (Base Point) ,选择 整 
ЖАЄ. ТЕ, (a,6b)| 一 1], 并 计算 KK 二 kG, 得 到 私 钥 为 (E, (a,6),G,k), 公 和 钥 为 (E, (a,b)， 
G,K). 

(2) 用 户 B 将 待 传输 的 明文 编码 到 E,(a,5) 上 的 一 点 M( 编 码 的 方法 很 多 ,这 里 不 做 讨 
论 ) ,并 产生 一 个 随机 整数 7,r€E[1,|E,(a,6)| 一 1]。 

(3) MP B 计算 点 Ci 一 M 十 rK ,Cs 二 rG, 将 密 文 (C1 ,C: ) 传 送 给 用 户 А. 

(4) 用 户 A 接 到 密 文 (C,C: ) 后 ,计算 Ci 一 kC; ,还 原 出 明文 点 M, 这 是 因为 : Ci 一 
kC: HrK —krG=M+rK—rkG=M+rK—rK=M; 再 对 点 M 进行 解码 就 可 以 恢复 出 
明文 。 

如 用 户 A 选择 的 椭圆 曲线 为 Es(1,1) , 取 基 点 G 二 (1,4), 取 整数 k= 二 3, 计 算 K 二 3G 一 
00.12), 

设 用 户 B 要 传送 的 明文 为 (4,11), 则 随机 产生 以 整数 2 ,计算 : 

С,= (4,11) +2(0,12), 

Ў (2.у) =200,12), Д 2 (3024-1) /02 12) =1/— 2==6 (той 13) 

有 : 


0+0 + 2 = 6 (mod 13) 


y +12 = 600 — 2) (той 13) 
fI 200.12) = (10.6). 
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则 设 С, (2,5) = (4,11) (10,6), Ф 2 (11—6)/04—10) 3==10( тоа 13), 有 : 
4 +10 + 2 = 10° (тоа 13) 


у+11 = 1004 —– х) (той 13) 
解 得 С, = (8,1). 
С. =06=2(1,4) = (8,12). 
因此 B 将 ((8,1),(8,12)) 发 送 给 A。 
А 收 到 ((8,1),(8,12)) 后 计算 Ci 一 3Cs= 二 (8,1) 一 3(8,12) 二 (8,1) 一 (11,11)(8,12)== 
(8,1) 一 (10,6) 一 (8,1) 十 (10,7) 一 (z,y), 有 斜率 人 一 (7 一 1)/(10 一 8) 一 3, 有 ， 
8 +10 + 2 = 3° (той 13) 


у 1 = 308 — x) (той 13) 
恢复 出 мМ= (4,11), 


小 结 


1. 椭圆 曲线 的 定义 


С) 实数 域 上 的 椭圆 曲线 : 4a’ +2700 
a,b E R,E(a,b) = {(х,у) | у? = а? Баг +Ь,х.у € R} U {0}. 
(2) 有 限 域 GF(p) 上 的 椭圆 曲线 : 4a” +270 220 (тоа p) 
a,b E€ 2,,Е,(а,) = ((х,у) | yx ах +b (mod p),x,y Є 7} U {0}. 


2. 椭圆 曲线 上 的 加 法 运算 


A) 几何 定义 : ERA R E ERA P 和 Q, 过 P 和 Q 的 直线 (车 P 和 Q 重合 则 做 
该 点 的 切线 ) 交 E FAAR È R My 轴 平 行 线 交 EE 于 R。 则 规定 P+Q=R。 

(2) 代数 定义 : # Ё(х,›у„)=Р(ху,›у,)-ЕО(х,›у;)ь 

O 实数 域 上 的 椭圆 曲线 : zs 一 外 一 х,—т,.у,=Ё(тү—т;) у; 

车 Р550,6= (у — уг) / (а 22); # Р=0,6= (32° +а)/2у. 

© 有 限 域 Z, 上 的 椭圆 曲线 : 62 — rı л тоа р). уз А0 23) — у (тоа р). 

Ф РЭ. (у уг) / (х 2) (той р); # P=Q,k= (32° а) /2у(той р); kEZ。 

(3) 椭圆 曲线 与 其 上 的 加 法 构成 交换 群 。 


作业 


. 请 找到 有 限 域 GF(13) 上 的 椭圆 曲线 Es(1,2) 上 的 所 有 点 。 

. BAA P(1,2)E Es(1,2) ,请 计算 一 P 和 2P。 

. 已 知 点 P(1,2),Q(2,8) EE,,(1,2) ,请 计算 PHQ. 

. 已 知 点 P(1,2)E Eis(1,2) ,请 计算 PP 的 阶 。 

. 请 找到 Es(1,2) 的 一 个 生成 元 , 据 此 得 到 以 该 生成 元 为 底 的 离散 对 数 表 。 


л & оо го к 


Т 


6. 请 写 出 Eis(1,2) 的 子 群 。 
Т. 请 设计 一 个 程序 ,实现 有 限 域 GF(p) 上 的 椭圆 曲线 E, (a,5) 的 构建 ,并 实现 其 上 的 
加 法 运算 。 


8. 请 设计 一 个 程序 ,实现 有 限 域 GF(p) 上 的 椭圆 曲线 Е, Cab) EAJ EIGamal 密码 算 
法 , 取 G=(5,1), 私 钥 & 二 5, 请 用 程序 计算 出 : 

(1) AH K 应 该 是 多 少 ? 

(2) 若 要 加 密 的 是 (5,12) ,选择 随机 值 "一 2, 请 计算 相应 的 密 文 。 

(3) 给 出 解密 的 过 程 和 结果 。 
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